Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Programe malware fără fișiere EggStreme

Programe malware fără fișiere EggStreme

Până în Mezo în Programe malware, Amenințare persistentă avansată (APT)
Tradu in:

O companie militară cu sediul în Filipine a căzut victimă unei campanii sofisticate de spionaj cibernetic, legată de un grup de amenințări persistente avansate (APT) despre care se crede că provine din China. Atacatorii au folosit un framework de malware fără fișiere necunoscut anterior, numit EggStreme, conceput pentru a menține accesul pe termen lung și de profil redus la sistemele compromise.

Cadrul EggStreme: Multi-Stage și fără fișiere

EggStreme nu este un singur malware, ci un cadru strâns integrat de componente. Lanțul său de infectare începe cu EggStremeFuel (mscorsvc.dll), care profilează sistemul înainte de a implementa EggStremeLoader pentru a stabili persistența. Acesta este urmat de EggStremeReflectiveLoader, care declanșează backdoor-ul principal, EggStremeAgent.

Execuția fără fișiere a cadrului de lucru asigură că codul malițios rulează în întregime în memorie, lăsând urme minime pe disc. În plus, utilizarea încărcării laterale a DLL-urilor pe tot parcursul lanțului de atac complică detectarea și investigațiile criminalistice.

EggStremeAgent: Sistemul nervos central

În centrul cadrului se află EggStremeAgent, un backdoor complet funcțional care funcționează ca principal centru de control al atacatorului. Acesta permite recunoașterea sistemului, escaladarea privilegiilor și mișcarea laterală, implementând totodată EggStremeKeylogger pentru a captura apăsările de taste în timpul sesiunilor active ale utilizatorilor.

Backdoor-ul comunică cu infrastructura sa de comandă și control (C2) prin protocolul Google Remote Procedure Call (gRPC) și acceptă un număr uimitor de 58 de comenzi, de la exfiltrarea datelor și execuția shellcode până la injectarea de payload.

Un implant auxiliar, EggStremeWizard (xwizards.dll), oferă atacatorilor o shell inversă și capacități de transfer de fișiere. Designul său încorporează mai multe servere C2, asigurând rezistența chiar dacă un server este întrerupt.

Capacitățile EggStremeFuel

Modulul inițial, EggStremeFuel, are sarcina de recunoaștere și de stabilire a comunicării cu infrastructura atacatorilor. Acesta permite operatorilor să:

  • Colectați informații despre unitatea de sistem.
  • Porniți cmd.exe și mențineți comunicarea prin pipe-uri.
  • Transmiteți adresa IP externă a mașinii utilizând myexternalip.com/raw.
  • Citirea fișierelor locale și la distanță, salvarea sau transmiterea conținutului acestora.
  • Transferă datele de configurare în memorie pe disc.
  • Închideți conexiunile atunci când este necesar.

Tactici, tehnici și instrumente

Actorii care atacă malware-ul utilizează în mod constant încărcarea laterală a DLL-urilor prin lansarea de fișiere binare legitime care încarcă DLL-uri malițioase. De asemenea, integrează utilitarul proxy Stowaway pentru a-și asigura un punct de sprijin în rețelele interne. Combinate cu fluxul de execuție fără fișiere al malware-ului, aceste tehnici permit operațiunii să se integreze în activitatea normală a sistemului și să evite detectarea de către instrumentele de securitate tradiționale.

Contextul geopolitic și provocările atribuirii

Vizarea entităților filipineze de către grupuri legate de China nu este o noutate și este probabil influențată de disputele teritoriale în curs de desfășurare din Marea Chinei de Sud care implică China, Vietnam, Filipine, Taiwan, Malaezia și Brunei.

Deși această campanie specifică nu a fost atribuită niciunui grup APT chinez cunoscut, obiectivele și interesele se aliniază puternic cu cele asociate istoric cu actorii sponsorizați de statul chinez. Cercetătorii au început să urmărească activitatea la începutul anului 2024, dar încă nu au reușit să o lege în mod concludent de un grup de amenințare existent.

O amenințare persistentă și evazivă

Familia de programe malware EggStreme evidențiază un nivel ridicat de sofisticare, persistență și adaptabilitate. Bazarea sa pe tehnici fără fișiere, execuția în mai multe etape și infrastructura C2 redundantă subliniază cunoștințele avansate ale operatorilor despre măsurile defensive moderne. Pentru apărători, această campanie servește ca o reamintire a peisajului amenințărilor în continuă evoluție și a importanței strategiilor proactive de detectare și răspuns.

Trending

Cele mai văzute

Se încarcă...