មេរោគ EggStreme Fileless

ក្រុមហ៊ុនយោធាដែលមានមូលដ្ឋាននៅប្រទេសហ្វីលីពីនបានធ្លាក់ខ្លួនជាជនរងគ្រោះក្នុងយុទ្ធនាការចារកម្មតាមអ៊ីនធឺណិតដ៏ទំនើបមួយដែលភ្ជាប់ទៅនឹងក្រុមការគំរាមកំហែងជាប់លាប់កម្រិតខ្ពស់ (APT) ដែលជឿថាមានប្រភពមកពីប្រទេសចិន។ អ្នកវាយប្រហារបានប្រើប្រាស់ក្របខណ្ឌមេរោគដែលមិនស្គាល់ឯកសារពីមុនដែលមានឈ្មោះថា EggStreme ដែលត្រូវបានរចនាឡើងដើម្បីរក្សាការចូលប្រើប្រាស់ប្រព័ន្ធដែលមានទម្រង់ទាប និងយូរអង្វែង។

ក្របខ័ណ្ឌ EggStreme៖ ពហុដំណាក់កាល និងគ្មានឯកសារ

EggStreme មិន​មែន​ជា​មេរោគ​តែ​មួយ​នោះ​ទេ ប៉ុន្តែ​ជា​ក្របខ័ណ្ឌ​ដែល​រួម​បញ្ចូល​គ្នា​យ៉ាង​តឹងរ៉ឹង។ ខ្សែសង្វាក់ការឆ្លងរបស់វាចាប់ផ្តើមជាមួយ EggStremeFuel (mscorsvc.dll) ដែលបង្ហាញប្រព័ន្ធមុនពេលដាក់ឱ្យប្រើប្រាស់ EggStremeLoader ដើម្បីបង្កើតការបន្ត។ វាត្រូវបានបន្តដោយ EggStremeReflectiveLoader ដែលបង្កឱ្យមានការបិទទ្វារសំខាន់ EggStremeAgent ។

ការប្រតិបត្តិដោយគ្មានឯកសាររបស់ក្របខ័ណ្ឌធានាថាកូដព្យាបាទដំណើរការទាំងស្រុងនៅក្នុងអង្គចងចាំ ដោយបន្សល់ទុកដានតិចតួចនៅលើថាស។ លើសពីនេះ ការប្រើប្រាស់ DLL sideloading នៅទូទាំងខ្សែសង្វាក់វាយប្រហារធ្វើឱ្យមានភាពស្មុគស្មាញដល់ការរកឃើញ និងការធ្វើកោសល្យវិច្ច័យ។

EggStremeAgent: ប្រព័ន្ធសរសៃប្រសាទកណ្តាល

ស្នូលនៃក្របខ័ណ្ឌគឺ EggStremeAgent ដែលជា backdoor ដែលមានមុខងារពេញលេញដែលដំណើរការជាមជ្ឈមណ្ឌលគ្រប់គ្រងចម្បងរបស់អ្នកវាយប្រហារ។ វាអនុញ្ញាតឱ្យប្រព័ន្ធឈ្លបយកការណ៍ ការកើនឡើងសិទ្ធិ និងចលនានៅពេលក្រោយ ខណៈពេលដែលកំពុងដាក់ពង្រាយ EggStremeKeylogger ដើម្បីចាប់យកការចុចគ្រាប់ចុចឆ្លងកាត់វគ្គអ្នកប្រើប្រាស់សកម្ម។

Backdoor ទាក់ទងជាមួយហេដ្ឋារចនាសម្ព័ន្ធពាក្យបញ្ជា និងការគ្រប់គ្រង (C2) របស់វាតាមរយៈពិធីការហៅទូរសព្ទពីចម្ងាយរបស់ Google (gRPC) និងគាំទ្រនូវពាក្យបញ្ជាចំនួន 58 ដ៏គួរឱ្យភ្ញាក់ផ្អើល ចាប់ពីការស្រង់ទិន្នន័យ និងការប្រតិបត្តិសែលកូដរហូតដល់ការចាក់បញ្ចូលបន្ទុក។

ការដាក់បញ្ចូលជំនួយមួយ EggStremeWizard (xwizards.dll) ផ្តល់ឱ្យអ្នកវាយប្រហារនូវសែលបញ្ច្រាស និងសមត្ថភាពផ្ទេរឯកសារ។ ការរចនារបស់វារួមបញ្ចូលម៉ាស៊ីនមេ C2 ជាច្រើនដែលធានាបាននូវភាពធន់ ទោះបីជាម៉ាស៊ីនមេមួយត្រូវបានរំខានក៏ដោយ។

សមត្ថភាពរបស់ EggStremeFuel

ម៉ូឌុលដំបូង EggStremeFuel មានភារកិច្ចក្នុងការឈ្លបយកការណ៍ និងបង្កើតទំនាក់ទំនងជាមួយហេដ្ឋារចនាសម្ព័ន្ធរបស់អ្នកវាយប្រហារ។ វាអនុញ្ញាតឱ្យប្រតិបត្តិករ៖

• ប្រមូលព័ត៌មានអំពីដ្រាយប្រព័ន្ធ។
• ចាប់ផ្តើម cmd.exe និងរក្សាទំនាក់ទំនងតាមរយៈបំពង់។
• បញ្ជូនអាសយដ្ឋាន IP ខាងក្រៅរបស់ម៉ាស៊ីនដោយប្រើ myexternalip.com/raw ។
• អានឯកសារក្នុងស្រុក និងពីចម្ងាយ រក្សាទុក ឬបញ្ជូនមាតិការបស់វា។
• បោះចោលទិន្នន័យការកំណត់រចនាសម្ព័ន្ធក្នុងអង្គចងចាំទៅក្នុងថាស។
• បិទការតភ្ជាប់នៅពេលចាំបាច់។

យុទ្ធសាស្ត្រ បច្ចេកទេស និងឧបករណ៍

តួអង្គគម្រាមកំហែងប្រើការផ្ទុក DLL ជាប់លាប់ដោយបើកដំណើរការប្រព័ន្ធគោលពីរស្របច្បាប់ដែលផ្ទុក DLLs ព្យាបាទ។ ពួកគេក៏រួមបញ្ចូលឧបករណ៍ប្រើប្រាស់ប្រូកស៊ី Stowaway ដើម្បីធានាបាននូវមូលដ្ឋាននៅក្នុងបណ្តាញខាងក្នុង។ រួមផ្សំជាមួយនឹងលំហូរប្រតិបត្តិការគ្មានឯកសាររបស់មេរោគ បច្ចេកទេសទាំងនេះអនុញ្ញាតឱ្យប្រតិបត្តិការបញ្ចូលគ្នាទៅក្នុងសកម្មភាពប្រព័ន្ធធម្មតា និងគេចពីការរកឃើញដោយឧបករណ៍សុវត្ថិភាពប្រពៃណី។

បរិបទភូមិសាស្ត្រនយោបាយ និងការប្រឈមមុខនឹងការបញ្ជាក់

ការកំណត់គោលដៅរបស់អង្គភាពហ្វីលីពីនដោយក្រុមដែលពាក់ព័ន្ធជាមួយចិនមិនមែនជារឿងថ្មីទេ ហើយទំនងជាត្រូវបានជះឥទ្ធិពលដោយជម្លោះទឹកដីដែលកំពុងបន្តនៅក្នុងសមុទ្រចិនខាងត្បូងដែលពាក់ព័ន្ធនឹងប្រទេសចិន វៀតណាម ហ្វីលីពីន តៃវ៉ាន់ ម៉ាឡេស៊ី និងប្រ៊ុយណេ។

ទោះបីជាយុទ្ធនាការជាក់លាក់នេះមិនត្រូវបានសន្មតថាជាក្រុម APT របស់ចិនដែលគេស្គាល់ណាមួយក៏ដោយ គោលបំណង និងផលប្រយោជន៍គឺស្របគ្នាយ៉ាងខ្លាំងជាមួយនឹងអ្នកដែលមានទំនាក់ទំនងជាប្រវត្តិសាស្ត្រជាមួយតួអង្គដែលឧបត្ថម្ភដោយរដ្ឋរបស់ចិន។ អ្នកស្រាវជ្រាវបានចាប់ផ្តើមតាមដានសកម្មភាពនេះនៅដើមឆ្នាំ 2024 ប៉ុន្តែមិនទាន់បានភ្ជាប់វាទាំងស្រុងទៅនឹងក្រុមគំរាមកំហែងដែលមានស្រាប់នៅឡើយទេ។

ការគំរាមកំហែងជាប់លាប់ និងគេចវេស

គ្រួសារមេរោគ EggStreme បង្ហាញពីកម្រិតខ្ពស់នៃភាពទំនើប ភាពជាប់លាប់ និងភាពប្រែប្រួល។ ការពឹងផ្អែករបស់វាទៅលើបច្ចេកទេសគ្មានឯកសារ ការប្រតិបត្តិពហុដំណាក់កាល និងហេដ្ឋារចនាសម្ព័ន្ធ C2 ដែលលែងត្រូវការតទៅទៀត បញ្ជាក់ពីចំណេះដឹងកម្រិតខ្ពស់របស់ប្រតិបត្តិករអំពីវិធានការការពារទំនើប។ សម្រាប់អ្នកការពារ យុទ្ធនាការនេះបម្រើជាការរំលឹកអំពីទិដ្ឋភាពនៃការគំរាមកំហែងដែលកំពុងវិវឌ្ឍន៍ និងសារៈសំខាន់នៃយុទ្ធសាស្ត្រស្វែងរក និងឆ្លើយតបយ៉ាងសកម្ម។