EggStreme filløs skadelig programvare

Et militært selskap basert på Filippinene har blitt offer for en sofistikert cyberspionasjekampanje knyttet til en avansert APT-gruppe (Advanced Persistent Threat) som antas å stamme fra Kina. Angriperne utnyttet et tidligere ukjent filløst skadelig rammeverk kalt EggStreme, designet for å opprettholde langsiktig, diskret tilgang til kompromitterte systemer.

EggStreme-rammeverket: Flertrinns og filløst

EggStreme er ikke en enkeltstående skadevare, men et tett integrert rammeverk av komponenter. Infeksjonskjeden starter med EggStremeFuel (mscorsvc.dll), som profilerer systemet før EggStremeLoader distribueres for å etablere persistens. Dette etterfølges av EggStremeReflectiveLoader, som utløser hovedbakdøren, EggStremeAgent.

Rammeverkets filløse utførelse sikrer at skadelig kode kjører utelukkende i minnet, og etterlater minimale spor på disken. I tillegg kompliserer bruken av DLL-sidelasting gjennom hele angrepskjeden deteksjon og etterforskning.

EggStremeAgent: Sentralnervesystemet

Kjernen i rammeverket ligger EggStremeAgent, en fullt funksjonell bakdør som fungerer som angriperens primære kontrollknutepunkt. Den muliggjør systemrekognosering, privilegieeskalering og lateral bevegelse, samtidig som den distribuerer EggStremeKeylogger for å fange opp tastetrykk på tvers av aktive brukerøkter.

Bakdøren kommuniserer med sin kommando-og-kontroll-infrastruktur (C2) via Google Remote Procedure Call (gRPC)-protokollen og støtter hele 58 kommandoer, alt fra datautfiltrering og kjøring av skallkode til injeksjon av nyttelast.

Et hjelpeimplantat, EggStremeWizard (xwizards.dll), gir angripere et omvendt skall og filoverføringsmuligheter. Designet inkluderer flere C2-servere, noe som sikrer robusthet selv om én server blir forstyrret.

Funksjoner til EggStremeFuel

Den første modulen, EggStremeFuel, har som oppgave å rekognosere og etablere kommunikasjon med angripernes infrastruktur. Den lar operatørene:

• Samle inn informasjon om systemstasjonen.
• Start cmd.exe og oppretthold kommunikasjonen gjennom rør.
• Overfør maskinens eksterne IP-adresse ved hjelp av myexternalip.com/raw.
• Les lokale og eksterne filer, lagre eller overfør innholdet deres.
• Dump konfigurasjonsdata fra minnet til disk.
• Slå av tilkoblinger når det er nødvendig.

Taktikker, teknikker og verktøy

Trusselaktørene bruker konsekvent DLL-sidelasting ved å starte legitime binærfiler som laster skadelige DLL-er. De integrerer også Stowaway-proxyverktøyet for å sikre et fotfeste i interne nettverk. Kombinert med skadevarens filløse utførelsesflyt, lar disse teknikkene operasjonen blande seg inn i normal systemaktivitet og unngå å bli oppdaget av tradisjonelle sikkerhetsverktøy.

Geopolitisk kontekst og utfordringer knyttet til attribusjon

Det er ikke nytt at kinesisk-tilknyttede grupper målretter filippinske enheter og sannsynligvis er påvirket av pågående territoriale tvister i Sørkinahavet som involverer Kina, Vietnam, Filippinene, Taiwan, Malaysia og Brunei.

Selv om denne spesifikke kampanjen ikke har blitt tilskrevet noen kjent kinesisk APT-gruppe, samsvarer målene og interessene sterkt med de som historisk sett er knyttet til kinesiske statsstøttede aktører. Forskere begynte å spore aktiviteten tidlig i 2024, men har ennå ikke koblet den endelig til en eksisterende trusselgruppe.

En vedvarende og unnvikende trussel

EggStreme-familien av skadevare fremhever et høyt nivå av raffinement, utholdenhet og tilpasningsevne. Dens avhengighet av filløse teknikker, flertrinns utførelse og redundant C2-infrastruktur understreker operatørenes avanserte kunnskap om moderne forsvarstiltak. For forsvarere tjener denne kampanjen som en påminnelse om det utviklende trussellandskapet og viktigheten av proaktive deteksjons- og responsstrategier.