EggStreme bezfailu ļaunprogrammatūra
Filipīnās bāzēts militārais uzņēmums ir kļuvis par sarežģītas kiberizlūkošanas kampaņas upuri, kas saistīta ar progresīvu pastāvīgu draudu (APT) grupu, kuras izcelsme, domājams, ir Ķīnā. Uzbrucēji izmantoja iepriekš nezināmu bezfailu ļaunprogrammatūras ietvaru ar nosaukumu EggStreme, kas paredzēts, lai ilgtermiņā uzturētu neuzkrītošu piekļuvi apdraudētām sistēmām.
Satura rādītājs
EggStreme ietvars: daudzpakāpju un bezfailu
EggStreme nav atsevišķs ļaunprogrammatūras gabals, bet gan cieši integrēta komponentu sistēma. Tās inficēšanas ķēde sākas ar EggStremeFuel (mscorsvc.dll), kas profilē sistēmu pirms EggStremeLoader izvietošanas, lai nodrošinātu noturību. Pēc tam seko EggStremeReflectiveLoader, kas aktivizē galvenās aizmugurējās durvis — EggStremeAgent.
Sistēmas bezfailu izpilde nodrošina, ka ļaunprātīgais kods darbojas pilnībā atmiņā, atstājot minimālas pēdas diskā. Turklāt DLL sānielādes izmantošana visā uzbrukuma ķēdē sarežģī atklāšanu un forenziku.
EggStremeAgent: Centrālā nervu sistēma
Sistēmas pamatā ir EggStremeAgent — pilnībā funkcionējoša aizmugurējā durvju sistēma, kas darbojas kā uzbrucēja galvenais vadības centrs. Tā nodrošina sistēmas izlūkošanu, privilēģiju eskalāciju un sānu pārvietošanos, vienlaikus izvietojot EggStremeKeylogger, lai fiksētu taustiņsitienus aktīvās lietotāju sesijās.
Aizmugurējās durvis sazinās ar savu komandu un vadības (C2) infrastruktūru, izmantojot Google attālās procedūras izsaukuma (gRPC) protokolu, un atbalsta satriecošas 58 komandas, sākot no datu eksfiltrācijas un apvalkkoda izpildes līdz vērtuma ievadīšanai.
Viens papildu implants EggStremeWizard (xwizards.dll) nodrošina uzbrucējiem apgrieztās čaulas un failu pārsūtīšanas iespējas. Tā dizains ietver vairākus C2 serverus, nodrošinot noturību pat viena servera darbības traucējumu gadījumā.
EggStremeFuel iespējas
Sākotnējais modulis EggStremeFuel ir paredzēts izlūkošanai un saziņas nodibināšanai ar uzbrucēju infrastruktūru. Tas ļauj operatoriem:
- Apkopojiet sistēmas diska informāciju.
- Palaidiet cmd.exe un uzturiet saziņu, izmantojot caurules.
- Pārsūtiet ierīces ārējo IP adresi, izmantojot myexternalip.com/raw.
- Lasīt lokālos un attālos failus, saglabājot vai pārsūtot to saturu.
- Izgāzt atmiņā esošos konfigurācijas datus diskā.
- Izslēdziet savienojumus, kad tas ir nepieciešams.
Taktika, metodes un rīki
Draudu izpildītāji pastāvīgi izmanto DLL sānielādi, palaižot likumīgus bināros failus, kas ielādē ļaunprātīgus DLL failus. Viņi arī integrē Stowaway starpniekservera utilītu, lai nodrošinātu sev vietu iekšējos tīklos. Apvienojumā ar ļaunprogrammatūras bezfailu izpildes plūsmu šīs metodes ļauj darbībai iekļauties parastā sistēmas darbībā un izvairīties no atklāšanas ar tradicionālajiem drošības rīkiem.
Ģeopolitiskā konteksta un attiecināšanas izaicinājumi
Ar Ķīnu saistītu grupējumu uzbrukumi Filipīnu struktūrām nav nekas jauns, un to, visticamāk, ietekmē notiekošie teritoriālie strīdi Dienvidķīnas jūrā starp Ķīnu, Vjetnamu, Filipīnām, Taivānu, Malaiziju un Bruneju.
Lai gan šī konkrētā kampaņa nav saistīta ar nevienu zināmu Ķīnas APT grupu, tās mērķi un intereses cieši saskan ar tām, kas vēsturiski saistītas ar Ķīnas valsts atbalstītiem dalībniekiem. Pētnieki sāka izsekot šai aktivitātei 2024. gada sākumā, taču vēl nav spējuši to pārliecinoši saistīt ar esošu draudu grupu.
Pastāvīgs un izvairīgs drauds
EggStreme ļaunprogrammatūru saime izceļas ar augstu sarežģītības, noturības un pielāgošanās spējas līmeni. Tās paļaušanās uz bezfailu metodēm, daudzpakāpju izpildi un dublētu C2 infrastruktūru uzsver operatoru padziļinātās zināšanas par mūsdienīgiem aizsardzības pasākumiem. Aizsargiem šī kampaņa kalpo kā atgādinājums par mainīgo apdraudējumu ainavu un proaktīvu atklāšanas un reaģēšanas stratēģiju nozīmi.
