Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware EggStreme bestandsloze malware

EggStreme bestandsloze malware

Tegen Mezo in Malware, Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:

Een militair bedrijf uit de Filipijnen is het slachtoffer geworden van een geavanceerde cyberespionagecampagne die verband houdt met een Advanced Persistent Threat (APT)-groep die vermoedelijk afkomstig is uit China. De aanvallers maakten gebruik van een tot nu toe onbekend bestandsloos malwareframework genaamd EggStreme, ontworpen om langdurige, onopvallende toegang tot gecompromitteerde systemen te behouden.

Het EggStreme Framework: multi-stage en bestandsloos

EggStreme is geen enkele malware, maar een nauw geïntegreerd framework van componenten. De infectieketen begint met EggStremeFuel (mscorsvc.dll), dat een profiel van het systeem maakt voordat EggStremeLoader wordt geïmplementeerd om persistentie te creëren. Dit wordt gevolgd door EggStremeReflectiveLoader, dat de belangrijkste backdoor, EggStremeAgent, activeert.

De bestandsloze uitvoering van het framework zorgt ervoor dat schadelijke code volledig in het geheugen wordt uitgevoerd, waardoor er minimale sporen op schijf achterblijven. Bovendien bemoeilijkt het gebruik van DLL-sideloading gedurende de aanvalsketen de detectie en forensische analyse.

EggStremeAgent: Het centrale zenuwstelsel

De kern van het framework wordt gevormd door EggStremeAgent, een volledig functionele backdoor die fungeert als het primaire controlecentrum van de aanvaller. Het maakt systeemverkenning, privilege-escalatie en laterale verplaatsing mogelijk, terwijl EggStremeKeylogger ook toetsaanslagen registreert tijdens actieve gebruikerssessies.

De backdoor communiceert met zijn command-and-control (C2)-infrastructuur via het Google Remote Procedure Call (gRPC)-protocol en ondersteunt maar liefst 58 opdrachten, variërend van data-exfiltratie en shellcode-uitvoering tot payload-injectie.

Eén hulpimplantaat, EggStremeWizard (xwizards.dll), biedt aanvallers een reverse shell en mogelijkheden voor bestandsoverdracht. Het ontwerp omvat meerdere C2-servers, wat de veerkracht garandeert, zelfs als één server uitvalt.

Mogelijkheden van EggStremeFuel

De initiële module, EggStremeFuel, is verantwoordelijk voor verkenning en het tot stand brengen van communicatie met de infrastructuur van de aanvallers. Hiermee kunnen operators:

  • Verzamel informatie over het systeemstation.
  • Start cmd.exe en onderhoud de communicatie via pipes.
  • Verzend het externe IP-adres van de machine met behulp van myexternalip.com/raw.
  • Lokale en externe bestanden lezen en de inhoud ervan opslaan of verzenden.
  • Dump de in-memory configuratiegegevens naar schijf.
  • Sluit de verbindingen indien nodig.

Tactieken, technieken en hulpmiddelen

De kwaadwillenden maken consequent gebruik van DLL-sideloading door legitieme binaire bestanden te lanceren die schadelijke DLL's laden. Ze integreren ook de Stowaway-proxy om zich te vestigen in interne netwerken. In combinatie met de bestandsloze uitvoeringsstroom van de malware zorgen deze technieken ervoor dat de bewerking opgaat in de normale systeemactiviteit en detectie door traditionele beveiligingstools ontwijkt.

Geopolitieke context en attributie-uitdagingen

Het is niet nieuw dat groepen met Chinese banden Filipijnse entiteiten als doelwit kiezen. Waarschijnlijk wordt dit beïnvloed door aanhoudende territoriale geschillen in de Zuid-Chinese Zee tussen China, Vietnam, de Filipijnen, Taiwan, Maleisië en Brunei.

Hoewel deze specifieke campagne niet aan een bekende Chinese APT-groep is toegeschreven, komen de doelstellingen en belangen sterk overeen met die welke historisch gezien geassocieerd worden met door de Chinese staat gesponsorde actoren. Onderzoekers begonnen de activiteiten begin 2024 te volgen, maar hebben deze nog niet definitief aan een bestaande dreigingsgroep kunnen koppelen.

Een aanhoudende en ontwijkende dreiging

De EggStreme-malwarefamilie benadrukt een hoge mate van verfijning, persistentie en aanpasbaarheid. De afhankelijkheid van bestandsloze technieken, meertrapsuitvoering en redundante C2-infrastructuur onderstreept de geavanceerde kennis van operators op het gebied van moderne verdedigingsmaatregelen. Voor verdedigers dient deze campagne als een herinnering aan het veranderende dreigingslandschap en het belang van proactieve detectie- en responsstrategieën.

Trending

Meest bekeken

Bezig met laden...