EggStreme Fileless Malware

ਫਿਲੀਪੀਨਜ਼ ਦੀ ਇੱਕ ਫੌਜੀ ਕੰਪਨੀ ਇੱਕ ਸੂਝਵਾਨ ਸਾਈਬਰ-ਜਾਸੂਸੀ ਮੁਹਿੰਮ ਦਾ ਸ਼ਿਕਾਰ ਹੋ ਗਈ ਹੈ ਜੋ ਇੱਕ ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥਰੇਟ (APT) ਸਮੂਹ ਨਾਲ ਜੁੜੀ ਹੋਈ ਹੈ ਜਿਸਨੂੰ ਚੀਨ ਤੋਂ ਉਤਪੰਨ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ। ਹਮਲਾਵਰਾਂ ਨੇ ਪਹਿਲਾਂ ਤੋਂ ਅਣਜਾਣ ਫਾਈਲ ਰਹਿਤ ਮਾਲਵੇਅਰ ਫਰੇਮਵਰਕ ਦਾ ਲਾਭ ਉਠਾਇਆ ਜਿਸ ਨੂੰ ਐਗਸਟ੍ਰੀਮ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਕਿ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ ਤੱਕ ਲੰਬੇ ਸਮੇਂ, ਘੱਟ-ਪ੍ਰੋਫਾਈਲ ਪਹੁੰਚ ਨੂੰ ਬਣਾਈ ਰੱਖਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।

ਐੱਗਸਟ੍ਰੀਮ ਫਰੇਮਵਰਕ: ਮਲਟੀ-ਸਟੇਜ ਅਤੇ ਫਾਈਲ ਰਹਿਤ

ਐੱਗਸਟ੍ਰੀਮ ਮਾਲਵੇਅਰ ਦਾ ਇੱਕ ਟੁਕੜਾ ਨਹੀਂ ਹੈ ਬਲਕਿ ਹਿੱਸਿਆਂ ਦਾ ਇੱਕ ਮਜ਼ਬੂਤੀ ਨਾਲ ਏਕੀਕ੍ਰਿਤ ਢਾਂਚਾ ਹੈ। ਇਸਦੀ ਇਨਫੈਕਸ਼ਨ ਚੇਨ EggStremeFuel (mscorsvc.dll) ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੀ ਹੈ, ਜੋ ਸਥਿਰਤਾ ਸਥਾਪਤ ਕਰਨ ਲਈ EggStremeLoader ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਸਿਸਟਮ ਨੂੰ ਪ੍ਰੋਫਾਈਲ ਕਰਦੀ ਹੈ। ਇਸ ਤੋਂ ਬਾਅਦ EggStremeReflectiveLoader ਆਉਂਦਾ ਹੈ, ਜੋ ਮੁੱਖ ਬੈਕਡੋਰ, EggStremeAgent ਨੂੰ ਚਾਲੂ ਕਰਦਾ ਹੈ।

ਫਰੇਮਵਰਕ ਦਾ ਫਾਈਲ ਰਹਿਤ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਖਤਰਨਾਕ ਕੋਡ ਪੂਰੀ ਤਰ੍ਹਾਂ ਮੈਮੋਰੀ ਵਿੱਚ ਚੱਲਦਾ ਹੈ, ਡਿਸਕ 'ਤੇ ਘੱਟੋ-ਘੱਟ ਨਿਸ਼ਾਨ ਛੱਡਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਹਮਲੇ ਦੀ ਲੜੀ ਵਿੱਚ DLL ਸਾਈਡਲੋਡਿੰਗ ਦੀ ਵਰਤੋਂ ਖੋਜ ਅਤੇ ਫੋਰੈਂਸਿਕ ਨੂੰ ਗੁੰਝਲਦਾਰ ਬਣਾਉਂਦੀ ਹੈ।

ਐੱਗਸਟ੍ਰੀਮ ਏਜੰਟ: ਕੇਂਦਰੀ ਨਸ ਪ੍ਰਣਾਲੀ

ਫਰੇਮਵਰਕ ਦੇ ਮੂਲ ਵਿੱਚ EggStremeAgent ਹੈ, ਇੱਕ ਪੂਰੀ ਤਰ੍ਹਾਂ ਕਾਰਜਸ਼ੀਲ ਬੈਕਡੋਰ ਜੋ ਹਮਲਾਵਰ ਦੇ ਪ੍ਰਾਇਮਰੀ ਕੰਟਰੋਲ ਹੱਬ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਇਹ ਸਿਸਟਮ ਰੀਕੋਨੀਸੈਂਸ, ਪ੍ਰੈਵੀਲੇਜ ਐਸਕੇਲੇਸ਼ਨ, ਅਤੇ ਲੇਟਰਲ ਮੂਵਮੈਂਟ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ ਜਦੋਂ ਕਿ EggStremeKeylogger ਨੂੰ ਸਰਗਰਮ ਉਪਭੋਗਤਾ ਸੈਸ਼ਨਾਂ ਵਿੱਚ ਕੀਸਟ੍ਰੋਕ ਕੈਪਚਰ ਕਰਨ ਲਈ ਵੀ ਤੈਨਾਤ ਕਰਦਾ ਹੈ।

ਇਹ ਬੈਕਡੋਰ ਗੂਗਲ ਰਿਮੋਟ ਪ੍ਰੋਸੀਜਰ ਕਾਲ (gRPC) ਪ੍ਰੋਟੋਕੋਲ ਰਾਹੀਂ ਆਪਣੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨਾਲ ਸੰਚਾਰ ਕਰਦਾ ਹੈ ਅਤੇ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਅਤੇ ਸ਼ੈੱਲਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਤੋਂ ਲੈ ਕੇ ਪੇਲੋਡ ਇੰਜੈਕਸ਼ਨ ਤੱਕ, 58 ਕਮਾਂਡਾਂ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ।

ਇੱਕ ਸਹਾਇਕ ਇਮਪਲਾਂਟ, EggStremeWizard (xwizards.dll), ਹਮਲਾਵਰਾਂ ਨੂੰ ਇੱਕ ਰਿਵਰਸ ਸ਼ੈੱਲ ਅਤੇ ਫਾਈਲ ਟ੍ਰਾਂਸਫਰ ਸਮਰੱਥਾਵਾਂ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਇਸਦਾ ਡਿਜ਼ਾਈਨ ਕਈ C2 ਸਰਵਰਾਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰਦਾ ਹੈ, ਜੋ ਇੱਕ ਸਰਵਰ ਦੇ ਵਿਘਨ ਪੈਣ 'ਤੇ ਵੀ ਲਚਕੀਲਾਪਣ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ।

ਐੱਗਸਟ੍ਰੀਮਫਿਊਲ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ

ਸ਼ੁਰੂਆਤੀ ਮਾਡਿਊਲ, ਐੱਗਸਟ੍ਰੀਮਫਿਊਲ, ਨੂੰ ਹਮਲਾਵਰਾਂ ਦੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨਾਲ ਖੋਜ ਅਤੇ ਸੰਚਾਰ ਸਥਾਪਤ ਕਰਨ ਦਾ ਕੰਮ ਸੌਂਪਿਆ ਗਿਆ ਹੈ। ਇਹ ਆਪਰੇਟਰਾਂ ਨੂੰ ਇਹ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ:

• ਸਿਸਟਮ ਡਰਾਈਵ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰੋ।
• cmd.exe ਸ਼ੁਰੂ ਕਰੋ ਅਤੇ ਪਾਈਪਾਂ ਰਾਹੀਂ ਸੰਚਾਰ ਬਣਾਈ ਰੱਖੋ।
• myexternalip.com/raw ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਮਸ਼ੀਨ ਦਾ ਬਾਹਰੀ IP ਪਤਾ ਭੇਜੋ।
• ਸਥਾਨਕ ਅਤੇ ਰਿਮੋਟ ਫਾਈਲਾਂ ਪੜ੍ਹੋ, ਉਹਨਾਂ ਦੀ ਸਮੱਗਰੀ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰੋ ਜਾਂ ਸੰਚਾਰਿਤ ਕਰੋ।
• ਇਨ-ਮੈਮੋਰੀ ਕੌਂਫਿਗਰੇਸ਼ਨ ਡੇਟਾ ਨੂੰ ਡਿਸਕ ਤੇ ਡੰਪ ਕਰੋ।
• ਲੋੜ ਪੈਣ 'ਤੇ ਕਨੈਕਸ਼ਨ ਬੰਦ ਕਰ ਦਿਓ।

ਜੁਗਤੀ, ਤਕਨੀਕਾਂ ਅਤੇ ਔਜ਼ਾਰ

ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਲਗਾਤਾਰ DLL ਸਾਈਡਲੋਡਿੰਗ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ, ਜੋ ਕਿ ਜਾਇਜ਼ ਬਾਈਨਰੀਆਂ ਨੂੰ ਲਾਂਚ ਕਰਕੇ ਖਤਰਨਾਕ DLL ਲੋਡ ਕਰਦੇ ਹਨ। ਉਹ ਅੰਦਰੂਨੀ ਨੈੱਟਵਰਕਾਂ ਦੇ ਅੰਦਰ ਪੈਰ ਜਮਾਉਣ ਲਈ ਸਟੋਵੇਅ ਪ੍ਰੌਕਸੀ ਉਪਯੋਗਤਾ ਨੂੰ ਵੀ ਏਕੀਕ੍ਰਿਤ ਕਰਦੇ ਹਨ। ਮਾਲਵੇਅਰ ਦੇ ਫਾਈਲ ਰਹਿਤ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਫਲੋ ਦੇ ਨਾਲ, ਇਹ ਤਕਨੀਕਾਂ ਓਪਰੇਸ਼ਨ ਨੂੰ ਆਮ ਸਿਸਟਮ ਗਤੀਵਿਧੀ ਵਿੱਚ ਮਿਲਾਉਣ ਅਤੇ ਰਵਾਇਤੀ ਸੁਰੱਖਿਆ ਸਾਧਨਾਂ ਦੁਆਰਾ ਖੋਜ ਤੋਂ ਬਚਣ ਦੀ ਆਗਿਆ ਦਿੰਦੀਆਂ ਹਨ।

ਭੂ-ਰਾਜਨੀਤਿਕ ਸੰਦਰਭ ਅਤੇ ਵਿਸ਼ੇਸ਼ਤਾ ਚੁਣੌਤੀਆਂ

ਚੀਨੀ-ਸਬੰਧਤ ਸਮੂਹਾਂ ਦੁਆਰਾ ਫਿਲੀਪੀਨ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ ਕੋਈ ਨਵੀਂ ਗੱਲ ਨਹੀਂ ਹੈ ਅਤੇ ਇਹ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਦੱਖਣੀ ਚੀਨ ਸਾਗਰ ਵਿੱਚ ਚੱਲ ਰਹੇ ਖੇਤਰੀ ਵਿਵਾਦਾਂ ਤੋਂ ਪ੍ਰਭਾਵਿਤ ਹੈ ਜਿਸ ਵਿੱਚ ਚੀਨ, ਵੀਅਤਨਾਮ, ਫਿਲੀਪੀਨਜ਼, ਤਾਈਵਾਨ, ਮਲੇਸ਼ੀਆ ਅਤੇ ਬਰੂਨੇਈ ਸ਼ਾਮਲ ਹਨ।

ਹਾਲਾਂਕਿ ਇਸ ਖਾਸ ਮੁਹਿੰਮ ਦਾ ਕਾਰਨ ਕਿਸੇ ਵੀ ਜਾਣੇ-ਪਛਾਣੇ ਚੀਨੀ APT ਸਮੂਹ ਨੂੰ ਨਹੀਂ ਮੰਨਿਆ ਗਿਆ ਹੈ, ਪਰ ਉਦੇਸ਼ ਅਤੇ ਹਿੱਤ ਇਤਿਹਾਸਕ ਤੌਰ 'ਤੇ ਚੀਨੀ ਰਾਜ-ਪ੍ਰਯੋਜਿਤ ਅਦਾਕਾਰਾਂ ਨਾਲ ਜੁੜੇ ਲੋਕਾਂ ਨਾਲ ਮਜ਼ਬੂਤੀ ਨਾਲ ਮੇਲ ਖਾਂਦੇ ਹਨ। ਖੋਜਕਰਤਾਵਾਂ ਨੇ 2024 ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ ਗਤੀਵਿਧੀ ਨੂੰ ਟਰੈਕ ਕਰਨਾ ਸ਼ੁਰੂ ਕੀਤਾ ਸੀ ਪਰ ਅਜੇ ਤੱਕ ਇਸਨੂੰ ਕਿਸੇ ਮੌਜੂਦਾ ਧਮਕੀ ਸਮੂਹ ਨਾਲ ਸਿੱਟੇ ਵਜੋਂ ਜੋੜਨਾ ਬਾਕੀ ਹੈ।

ਇੱਕ ਲਗਾਤਾਰ ਅਤੇ ਟਾਲ-ਮਟੋਲ ਕਰਨ ਵਾਲਾ ਖ਼ਤਰਾ

ਐੱਗਸਟ੍ਰੀਮ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰ ਉੱਚ ਪੱਧਰੀ ਸੂਝ-ਬੂਝ, ਦ੍ਰਿੜਤਾ ਅਤੇ ਅਨੁਕੂਲਤਾ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ। ਫਾਈਲ ਰਹਿਤ ਤਕਨੀਕਾਂ, ਬਹੁ-ਪੜਾਅ ਐਗਜ਼ੀਕਿਊਸ਼ਨ, ਅਤੇ ਬੇਲੋੜੇ C2 ਬੁਨਿਆਦੀ ਢਾਂਚੇ 'ਤੇ ਇਸਦੀ ਨਿਰਭਰਤਾ ਆਧੁਨਿਕ ਰੱਖਿਆਤਮਕ ਉਪਾਵਾਂ ਦੇ ਆਪਰੇਟਰਾਂ ਦੇ ਉੱਨਤ ਗਿਆਨ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ। ਡਿਫੈਂਡਰਾਂ ਲਈ, ਇਹ ਮੁਹਿੰਮ ਵਿਕਸਤ ਹੋ ਰਹੇ ਖ਼ਤਰੇ ਦੇ ਦ੍ਰਿਸ਼ ਅਤੇ ਕਿਰਿਆਸ਼ੀਲ ਖੋਜ ਅਤੇ ਪ੍ਰਤੀਕਿਰਿਆ ਰਣਨੀਤੀਆਂ ਦੀ ਮਹੱਤਤਾ ਦੀ ਯਾਦ ਦਿਵਾਉਂਦੀ ਹੈ।