Бесфайловое вредоносное ПО EggStreme
Филиппинская военная компания стала жертвой изощрённой кампании кибершпионажа, связанной с группой APT (Advanced Permanent Threat), предположительно исходящей из Китая. Злоумышленники использовали ранее неизвестный безфайловый вредоносный фреймворк EggStreme, предназначенный для обеспечения долгосрочного и незаметного доступа к скомпрометированным системам.
Оглавление
Фреймворк EggStreme: многоступенчатый и безфайловый
EggStreme — это не отдельный вредоносный код, а тесно интегрированная система компонентов. Цепочка заражения начинается с EggStremeFuel (mscorsvc.dll), который профилирует систему перед развертыванием EggStremeLoader для обеспечения устойчивости. Далее следует EggStremeReflectiveLoader, который активирует основной бэкдор EggStremeAgent.
Безфайловое исполнение фреймворка гарантирует, что вредоносный код выполняется исключительно в памяти, оставляя минимальные следы на диске. Кроме того, использование сторонних DLL-библиотек на протяжении всей цепочки атаки усложняет обнаружение и криминалистическую экспертизу.
EggStremeAgent: Центральная нервная система
В основе фреймворка лежит EggStremeAgent — полнофункциональный бэкдор, служащий основным центром управления злоумышленника. Он позволяет проводить разведку системы, повышать привилегии и осуществлять горизонтальное проникновение, а также использовать EggStremeKeylogger для записи нажатий клавиш во время активных сеансов пользователя.
Бэкдор взаимодействует с инфраструктурой управления и контроля (C2) через протокол Google Remote Procedure Call (gRPC) и поддерживает целых 58 команд: от извлечения данных и выполнения шелл-кода до внедрения полезной нагрузки.
Вспомогательный имплант, EggStremeWizard (xwizards.dll), предоставляет злоумышленникам возможности обратного шелла и передачи файлов. Его конструкция включает в себя несколько серверов управления (C2), что обеспечивает отказоустойчивость даже в случае сбоя одного из них.
Возможности EggStremeFuel
Начальный модуль, EggStremeFuel, отвечает за разведку и установление связи с инфраструктурой атакующих. Он позволяет операторам:
- Соберите информацию о системном диске.
- Запустите cmd.exe и поддерживайте связь по каналам.
- Передайте внешний IP-адрес машины, используя myexternalip.com/raw.
- Чтение локальных и удаленных файлов, сохранение или передача их содержимого.
- Сохранение данных конфигурации из памяти на диск.
- При необходимости отключайте соединения.
Тактика, методы и инструменты
Злоумышленники систематически используют загрузку DLL-библиотек, запуская легитимные двоичные файлы, которые загружают вредоносные DLL-библиотеки. Они также интегрируют прокси-утилиту Stowaway для обеспечения безопасности во внутренних сетях. В сочетании с бесфайловым выполнением вредоносного ПО эти методы позволяют ему скрываться под обычной работой системы и избегать обнаружения традиционными средствами безопасности.
Геополитический контекст и проблемы атрибуции
Нападения на филиппинские организации со стороны групп, связанных с Китаем, не являются чем-то новым и, вероятно, обусловлены продолжающимися территориальными спорами в Южно-Китайском море между Китаем, Вьетнамом, Филиппинами, Тайванем, Малайзией и Брунеем.
Хотя эта конкретная кампания не была приписана какой-либо известной китайской APT-группе, её цели и интересы во многом совпадают с целями и интересами, исторически связанными с китайскими государственными структурами. Исследователи начали отслеживать эту активность в начале 2024 года, но пока не смогли однозначно связать её с существующей группой, представляющей угрозу.
Постоянная и уклончивая угроза
Семейство вредоносных программ EggStreme отличается высокой сложностью, стойкостью и адаптивностью. Использование им бесфайловых технологий, многоэтапного выполнения и избыточной инфраструктуры командного сервера (C2) подчёркивает глубокие познания операторов в области современных мер защиты. Для специалистов по защите эта кампания служит напоминанием об изменении ландшафта угроз и важности упреждающих стратегий обнаружения и реагирования.
