EggStreme Fileless Malware
Filipińska firma wojskowa padła ofiarą wyrafinowanej kampanii cybernetycznego szpiegostwa powiązanej z grupą zaawansowanego, uporczywego zagrożenia (APT), prawdopodobnie pochodzącą z Chin. Atakujący wykorzystali nieznaną wcześniej, bezplikową strukturę złośliwego oprogramowania o nazwie EggStreme, zaprojektowaną w celu utrzymania długoterminowego, dyskretnego dostępu do zainfekowanych systemów.
Spis treści
Framework EggStreme: wieloetapowy i bezplikowy
EggStreme to nie pojedynczy złośliwy program, lecz ściśle zintegrowana struktura komponentów. Jego łańcuch infekcji rozpoczyna się od EggStremeFuel (mscorsvc.dll), który profiluje system przed wdrożeniem EggStremeLoadera w celu zapewnienia trwałości. Następnie uruchamiany jest EggStremeReflectiveLoader, który aktywuje główny backdoor, EggStremeAgent.
Bezplikowe wykonywanie kodu w ramach frameworka gwarantuje, że złośliwy kod działa wyłącznie w pamięci, pozostawiając minimalne ślady na dysku. Ponadto, stosowanie bocznego ładowania bibliotek DLL w całym łańcuchu ataku komplikuje wykrywanie i analizę kryminalistyczną.
EggStremeAgent: Centralny układ nerwowy
Sercem systemu jest EggStremeAgent, w pełni funkcjonalny backdoor, który działa jako główny hub kontroli atakującego. Umożliwia on rozpoznanie systemu, eskalację uprawnień i ruch boczny, a także wdraża EggStremeKeylogger do rejestrowania naciśnięć klawiszy podczas aktywnych sesji użytkownika.
Tylne drzwi komunikują się z infrastrukturą poleceń i kontroli (C2) za pośrednictwem protokołu Google Remote Procedure Call (gRPC) i obsługują aż 58 poleceń, począwszy od eksfiltracji danych i wykonywania kodu powłoki, aż po wstrzykiwanie ładunku.
Jeden z implantów pomocniczych, EggStremeWizard (xwizards.dll), zapewnia atakującym odwrotną powłokę i możliwości przesyłania plików. Jego konstrukcja obejmuje wiele serwerów C2, zapewniając odporność nawet w przypadku awarii jednego z serwerów.
Możliwości EggStremeFuel
Moduł początkowy, EggStremeFuel, ma za zadanie rozpoznanie i nawiązanie komunikacji z infrastrukturą atakujących. Umożliwia on operatorom:
- Zbierz informacje o dysku systemowym.
- Uruchom cmd.exe i utrzymuj komunikację poprzez kanały.
- Prześlij zewnętrzny adres IP urządzenia za pomocą myexternalip.com/raw.
- Odczytuj pliki lokalne i zdalne, zapisując lub przesyłając ich zawartość.
- Zrzuć dane konfiguracyjne z pamięci na dysk.
- W razie potrzeby zamknij połączenia.
Taktyka, techniki i narzędzia
Aktorzy zagrożeń konsekwentnie stosują sideloading bibliotek DLL, uruchamiając legalne pliki binarne, które ładują złośliwe biblioteki DLL. Integrują również narzędzie proxy Stowaway, aby zapewnić sobie dostęp do sieci wewnętrznych. W połączeniu z bezplikowym procesem wykonywania złośliwego oprogramowania, techniki te pozwalają operacjom wtopić się w normalną aktywność systemu i uniknąć wykrycia przez tradycyjne narzędzia bezpieczeństwa.
Kontekst geopolityczny i wyzwania atrybucji
Ataki na filipińskie podmioty ze strony powiązanych z Chinami grup nie są niczym nowym i prawdopodobnie mają na to wpływ trwające spory terytorialne na Morzu Południowochińskim między Chinami, Wietnamem, Filipinami, Tajwanem, Malezją i Brunei.
Chociaż ta konkretna kampania nie została przypisana żadnej znanej chińskiej grupie APT, jej cele i interesy są ściśle powiązane z celami i interesami historycznie powiązanymi z podmiotami sponsorowanymi przez chińskie państwo. Badacze rozpoczęli śledzenie tej aktywności na początku 2024 roku, ale jak dotąd nie udało im się jednoznacznie powiązać jej z żadną istniejącą grupą przestępczą.
Uporczywe i wymykające się zagrożenie
Rodzina złośliwego oprogramowania EggStreme charakteryzuje się wysokim poziomem wyrafinowania, trwałości i adaptowalności. Jej wykorzystanie technik bezplikowych, wieloetapowego wykonywania i redundantnej infrastruktury C2 podkreśla zaawansowaną wiedzę operatorów na temat nowoczesnych środków obronnych. Dla obrońców ta kampania stanowi przypomnienie o ewoluującym krajobrazie zagrożeń oraz o znaczeniu proaktywnych strategii wykrywania i reagowania.
