Perisian Hasad Tanpa Fail EggStreme
Sebuah syarikat tentera yang berpangkalan di Filipina telah menjadi mangsa kempen pengintipan siber canggih yang dikaitkan dengan kumpulan ancaman berterusan lanjutan (APT) yang dipercayai berasal dari China. Penyerang memanfaatkan rangka kerja perisian hasad tanpa fail yang sebelum ini dikenali sebagai EggStreme, direka untuk mengekalkan akses berprofil rendah jangka panjang kepada sistem yang terjejas.
Isi kandungan
Rangka Kerja EggStreme: Berbilang Peringkat dan Tanpa Fail
EggStreme bukanlah satu perisian hasad tetapi rangka kerja komponen yang bersepadu. Rantaian jangkitannya bermula dengan EggStremeFuel (mscorsvc.dll), yang memprofilkan sistem sebelum menggunakan EggStremeLoader untuk mewujudkan kegigihan. Ini diikuti oleh EggStremeReflectiveLoader, yang mencetuskan pintu belakang utama, EggStremeAgent.
Pelaksanaan tanpa fail rangka kerja memastikan kod hasad berjalan sepenuhnya dalam ingatan, meninggalkan kesan minimum pada cakera. Di samping itu, penggunaan pemuatan sisi DLL sepanjang rantaian serangan merumitkan pengesanan dan forensik.
EggStremeAgent: Sistem Saraf Pusat
Pada teras rangka kerja itu terletak EggStremeAgent, pintu belakang berfungsi sepenuhnya yang beroperasi sebagai hab kawalan utama penyerang. Ia membolehkan peninjauan sistem, peningkatan keistimewaan dan pergerakan sisi sambil turut menggunakan EggStremeKeylogger untuk menangkap ketukan kekunci merentas sesi pengguna aktif.
Pintu belakang berkomunikasi dengan infrastruktur arahan dan kawalan (C2)nya melalui protokol Panggilan Prosedur Jauh (gRPC) Google dan menyokong 58 arahan yang mengejutkan, mulai daripada penyingkiran data dan pelaksanaan kod shell kepada suntikan muatan.
Satu implan tambahan, EggStremeWizard (xwizards.dll), menyediakan penyerang dengan cengkerang terbalik dan keupayaan pemindahan fail. Reka bentuknya menggabungkan berbilang pelayan C2, memastikan daya tahan walaupun satu pelayan terganggu.
Keupayaan EggStremeFuel
Modul awal, EggStremeFuel, ditugaskan untuk meninjau dan mewujudkan komunikasi dengan infrastruktur penyerang. Ia membolehkan pengendali untuk:
- Kumpul maklumat pemacu sistem.
- Mulakan cmd.exe dan kekalkan komunikasi melalui paip.
- Hantar alamat IP luaran mesin menggunakan myexternalip.com/raw.
- Baca fail tempatan dan jauh, menyimpan atau menghantar kandungannya.
- Buang data konfigurasi dalam memori ke cakera.
- Matikan sambungan apabila diperlukan.
Taktik, Teknik dan Alat
Aktor ancaman secara konsisten menggunakan pemuatan sisi DLL dengan melancarkan perduaan sah yang memuatkan DLL berniat jahat. Mereka juga menyepadukan utiliti proksi Stowaway untuk menjamin kedudukan dalam rangkaian dalaman. Digabungkan dengan aliran pelaksanaan tanpa fail perisian hasad, teknik ini membolehkan operasi digabungkan dengan aktiviti sistem biasa dan mengelakkan pengesanan oleh alat keselamatan tradisional.
Konteks Geopolitik dan Cabaran Atribusi
Penyasaran entiti Filipina oleh kumpulan berkaitan China bukanlah perkara baharu dan mungkin dipengaruhi oleh pertikaian wilayah yang berterusan di Laut China Selatan yang melibatkan China, Vietnam, Filipina, Taiwan, Malaysia dan Brunei.
Walaupun kempen khusus ini tidak dikaitkan dengan mana-mana kumpulan APT Cina yang diketahui, objektif dan minat sangat sejajar dengan yang dikaitkan secara sejarah dengan pelakon tajaan kerajaan China. Penyelidik mula menjejaki aktiviti itu pada awal 2024 tetapi masih belum menghubungkannya secara muktamad kepada kumpulan ancaman sedia ada.
Ancaman Berterusan dan Mengelak
Keluarga perisian hasad EggStreme menyerlahkan tahap kecanggihan, ketekunan dan kebolehsuaian yang tinggi. Pergantungannya pada teknik tanpa fail, pelaksanaan berbilang peringkat, dan infrastruktur C2 yang berlebihan menggariskan pengetahuan lanjutan pengendali tentang langkah pertahanan moden. Bagi pembela, kempen ini berfungsi sebagai peringatan tentang landskap ancaman yang berkembang dan kepentingan strategi pengesanan dan tindak balas yang proaktif.
