„EggStreme“ be failų kenkėjiška programa
Filipinuose įsikūrusi karinė bendrovė tapo sudėtingos kibernetinio šnipinėjimo kampanijos, susijusios su pažangia nuolatinių grėsmių (APT) grupe, manoma, kilusia iš Kinijos, auka. Užpuolikai panaudojo anksčiau nežinomą be failų veikiančią kenkėjiškų programų sistemą, vadinamą „EggStreme“, skirtą ilgalaikei, nepastebimai prieigai prie pažeistų sistemų palaikyti.
Turinys
„EggStreme“ sistema: daugiapakopė ir be failų
„EggStreme“ nėra pavienis kenkėjiškas įrankis, o glaudžiai integruota komponentų sistema. Jo užkrato grandinė prasideda nuo „EggStremeFuel“ (mscorsvc.dll), kuris profiliuoja sistemą prieš dislokuodamas „EggStremeLoader“, kad būtų užtikrintas sistemos pastovumas. Po to seka „EggStremeReflectiveLoader“, kuris aktyvuoja pagrindines galines duris – „EggStremeAgent“.
Sistemos vykdymas be failų užtikrina, kad kenkėjiškas kodas veiktų tik atmintyje, paliekant minimalius pėdsakus diske. Be to, DLL šoninio įkėlimo naudojimas visoje atakos grandinėje apsunkina aptikimą ir teismo ekspertizę.
EggStremeAgent: Centrinė nervų sistema
Sistemos pagrindas yra „EggStremeAgent“ – pilnai funkcionuojanti galinių durų funkcija, kuri veikia kaip pagrindinis užpuoliko valdymo centras. Ji leidžia žvalgyti sistemą, didinti privilegijas ir judėti į šonus, tuo pačiu metu diegdama „EggStremeKeylogger“, kad užfiksuotų klavišų paspaudimus aktyvių vartotojų sesijų metu.
Užpakalinės durys bendrauja su savo komandų ir valdymo (C2) infrastruktūra per „Google Remote Procedure Call“ (gRPC) protokolą ir palaiko stulbinančias 58 komandas – nuo duomenų išgavimo ir apvalkalinio kodo vykdymo iki naudingosios apkrovos įterpimo.
Vienas pagalbinis implantas „EggStremeWizard“ (xwizards.dll) suteikia užpuolikams atvirkštinio apvalkalo ir failų perdavimo galimybes. Jo konstrukcija apima kelis C2 serverius, užtikrinančius atsparumą net ir sutrikus vieno serverio veikimui.
„EggStremeFuel“ galimybės
Pradinis modulis „EggStremeFuel“ skirtas žvalgybai ir ryšio su užpuolikų infrastruktūra užmezgimui. Jis leidžia operatoriams:
- Surinkite sistemos disko informaciją.
- Paleiskite cmd.exe ir palaikykite ryšį per kanalus.
- Perduokite įrenginio išorinį IP adresą naudodami myexternalip.com/raw.
- Skaitykite vietinius ir nuotolinius failus, išsaugodami arba perduodami jų turinį.
- Iškelti atmintyje esančius konfigūracijos duomenis į diską.
- Prireikus išjunkite ryšius.
Taktika, metodai ir įrankiai
Grėsmių kūrėjai nuolat naudoja DLL failų įkėlimą iš išorinio serverio, paleisdami teisėtus dvejetainius failus, kurie įkelia kenkėjiškus DLL failus. Jie taip pat integruoja „Stowaway“ tarpinio serverio programą, kad užsitikrintų vietą vidiniuose tinkluose. Kartu su kenkėjiškos programos vykdymo be failų srautu šios technikos leidžia operacijai įsilieti į įprastą sistemos veiklą ir išvengti aptikimo tradicinėmis saugos priemonėmis.
Geopolitinis kontekstas ir priskyrimo iššūkiai
Su Kinija susijusių grupuočių taikinys į Filipinų subjektus nėra naujiena ir greičiausiai tam įtakos turi Pietų Kinijos jūroje vykstantys teritoriniai ginčai tarp Kinijos, Vietnamo, Filipinų, Taivano, Malaizijos ir Brunėjaus.
Nors ši konkreti kampanija nebuvo priskirta jokiai žinomai Kinijos APT grupuotei, jos tikslai ir interesai glaudžiai susiję su istoriškai Kinijos valstybės remiamų veikėjų siejamais tikslais ir interesais. Tyrėjai pradėjo stebėti šią veiklą 2024 m. pradžioje, tačiau dar nesusiejo jos galutinai su egzistuojančia grėsmių grupe.
Nuolatinė ir vengiama grėsmė
„EggStreme“ kenkėjiškų programų šeima pasižymi dideliu sudėtingumu, atkaklumu ir prisitaikomumu. Jos priklausomybė nuo failų neturinčių metodų, kelių etapų vykdymas ir perteklinė C2 infrastruktūra pabrėžia operatorių pažangias žinias apie šiuolaikines gynybos priemones. Gynėjams ši kampanija primena apie besikeičiantį grėsmių kraštovaizdį ir aktyvių aptikimo bei reagavimo strategijų svarbą.
