EggStreme Fileless Malware
फिलिपिन्समा आधारित एक सैन्य कम्पनी चीनबाट उत्पन्न भएको विश्वास गरिएको एक उन्नत पर्सिस्टेन्ट थ्रेट (एपीटी) समूहसँग सम्बन्धित परिष्कृत साइबर-जासूसी अभियानको शिकार भएको छ। आक्रमणकारीहरूले एगस्ट्रीम भनिने पहिले अज्ञात फाइललेस मालवेयर फ्रेमवर्कको लाभ उठाए, जुन सम्झौता गरिएका प्रणालीहरूमा दीर्घकालीन, कम-प्रोफाइल पहुँच कायम राख्न डिजाइन गरिएको थियो।
सामग्रीको तालिका
एगस्ट्रिम फ्रेमवर्क: बहु-चरण र फाइललेस
एगस्ट्रीम मालवेयरको एकल टुक्रा होइन तर कम्पोनेन्टहरूको कडा रूपमा एकीकृत फ्रेमवर्क हो। यसको संक्रमण श्रृंखला एगस्ट्रीमफ्यूएल (mscorsvc.dll) बाट सुरु हुन्छ, जसले एगस्ट्रीमलोडरलाई स्थिरता स्थापित गर्न तैनाथ गर्नु अघि प्रणालीलाई प्रोफाइल गर्दछ। यसपछि एगस्ट्रीमरेफ्लेक्टिवलोडर आउँछ, जसले मुख्य ब्याकडोर, एगस्ट्रीमएजेन्टलाई ट्रिगर गर्दछ।
फ्रेमवर्कको फाइललेस कार्यान्वयनले दुर्भावनापूर्ण कोड पूर्ण रूपमा मेमोरीमा चल्ने कुरा सुनिश्चित गर्दछ, डिस्कमा न्यूनतम ट्रेसहरू छोड्छ। थप रूपमा, आक्रमण श्रृंखलाभरि DLL साइडलोडिङको प्रयोगले पत्ता लगाउने र फोरेन्सिकलाई जटिल बनाउँछ।
एगस्ट्रिमएजेन्ट: केन्द्रीय स्नायु प्रणाली
फ्रेमवर्कको मूल भागमा एगस्ट्रीमएजेन्ट रहेको छ, जुन पूर्ण रूपमा कार्यात्मक ब्याकडोर हो जुन आक्रमणकारीको प्राथमिक नियन्त्रण केन्द्रको रूपमा काम गर्दछ। यसले प्रणालीको जासूसी, विशेषाधिकार वृद्धि, र पार्श्व आन्दोलनलाई सक्षम बनाउँछ जबकि सक्रिय प्रयोगकर्ता सत्रहरूमा किस्ट्रोकहरू खिच्न एगस्ट्रीमकेलोगरलाई पनि तैनाथ गर्दछ।
ब्याकडोरले गुगल रिमोट प्रोसिजर कल (gRPC) प्रोटोकल मार्फत यसको कमाण्ड-एन्ड-कन्ट्रोल (C2) पूर्वाधारसँग सञ्चार गर्दछ र डाटा एक्सफिल्ट्रेसन र शेलकोड कार्यान्वयनदेखि पेलोड इन्जेक्सनसम्मका आश्चर्यजनक ५८ आदेशहरूलाई समर्थन गर्दछ।
एउटा सहायक इम्प्लान्ट, EggStremeWizard (xwizards.dll), ले आक्रमणकारीहरूलाई रिभर्स शेल र फाइल ट्रान्सफर क्षमताहरू प्रदान गर्दछ। यसको डिजाइनले धेरै C2 सर्भरहरू समावेश गर्दछ, जसले एउटा सर्भर अवरुद्ध भए पनि लचिलोपन सुनिश्चित गर्दछ।
एगस्ट्रिम इन्धनको क्षमताहरू
प्रारम्भिक मोड्युल, एगस्ट्रीमफ्यूएल, आक्रमणकारीहरूको पूर्वाधारसँग जासूसी र सञ्चार स्थापना गर्ने काममा समर्पित छ। यसले अपरेटरहरूलाई निम्न गर्न अनुमति दिन्छ:
- प्रणाली ड्राइभ जानकारी सङ्कलन गर्नुहोस्।
- cmd.exe सुरु गर्नुहोस् र पाइपहरू मार्फत सञ्चार कायम राख्नुहोस्।
- myexternalip.com/raw प्रयोग गरेर मेसिनको बाह्य IP ठेगाना पठाउनुहोस्।
- स्थानीय र रिमोट फाइलहरू पढ्नुहोस्, तिनीहरूको सामग्री बचत गर्नुहोस् वा प्रसारण गर्नुहोस्।
- इन-मेमोरी कन्फिगरेसन डेटा डिस्कमा डम्प गर्नुहोस्।
- आवश्यक पर्दा जडानहरू बन्द गर्नुहोस्।
रणनीति, प्रविधि र उपकरणहरू
खतरा अभिनेताहरूले लगातार DLL साइडलोडिङ प्रयोग गर्छन् जसले दुर्भावनापूर्ण DLL हरू लोड गर्ने वैध बाइनरीहरू सुरु गर्छन्। तिनीहरूले आन्तरिक नेटवर्कहरू भित्र आफ्नो स्थान सुरक्षित गर्न Stowaway प्रोक्सी उपयोगितालाई पनि एकीकृत गर्छन्। मालवेयरको फाइललेस कार्यान्वयन प्रवाहसँग संयुक्त, यी प्रविधिहरूले सञ्चालनलाई सामान्य प्रणाली गतिविधिमा मिसिन र परम्परागत सुरक्षा उपकरणहरूद्वारा पत्ता लगाउनबाट बच्न अनुमति दिन्छ।
भूराजनीतिक सन्दर्भ र विशेषता चुनौतीहरू
चिनियाँ सम्बद्ध समूहहरूद्वारा फिलिपिन्सका संस्थाहरूलाई लक्षित गर्नु नयाँ होइन र सम्भवतः चीन, भियतनाम, फिलिपिन्स, ताइवान, मलेसिया र ब्रुनाई संलग्न दक्षिण चीन सागरमा चलिरहेको क्षेत्रीय विवादबाट प्रभावित भएको हुन सक्छ।
यद्यपि यो विशिष्ट अभियान कुनै पनि ज्ञात चिनियाँ एपीटी समूहलाई जिम्मेवार ठहराइएको छैन, उद्देश्य र चासोहरू ऐतिहासिक रूपमा चिनियाँ राज्य-प्रायोजित अभिनेताहरूसँग सम्बन्धित व्यक्तिहरूसँग दृढ रूपमा मिल्दोजुल्दो छन्। अनुसन्धानकर्ताहरूले २०२४ को सुरुमा गतिविधि ट्र्याक गर्न थाले तर अझैसम्म यसलाई अवस्थित खतरा समूहसँग निर्णायक रूपमा जोड्न सकेका छैनन्।
निरन्तर र टालटुल गर्ने खतरा
एगस्ट्रिम मालवेयर परिवारले उच्च स्तरको परिष्कार, दृढता र अनुकूलन क्षमतालाई हाइलाइट गर्दछ। फाइललेस प्रविधिहरू, बहु-चरण कार्यान्वयन, र अनावश्यक C2 पूर्वाधारमा यसको निर्भरताले अपरेटरहरूको आधुनिक रक्षात्मक उपायहरूको उन्नत ज्ञानलाई जोड दिन्छ। रक्षकहरूका लागि, यो अभियानले विकसित हुँदै गइरहेको खतरा परिदृश्य र सक्रिय पत्ता लगाउने र प्रतिक्रिया रणनीतिहरूको महत्त्वको सम्झना गराउँछ।
