Bezsúborový malvér EggStreme
Vojenská spoločnosť so sídlom na Filipínach sa stala obeťou sofistikovanej kybernetickej špionážnej kampane spojenej so skupinou pokročilých perzistentných hrozieb (APT), o ktorej sa predpokladá, že pochádza z Číny. Útočníci využili doteraz neznámy systém bezsúborového malvéru s názvom EggStreme, ktorý bol navrhnutý tak, aby udržiaval dlhodobý a nenápadný prístup k napadnutým systémom.
Obsah
Rámec EggStreme: Viacstupňový a bezsúborový
EggStreme nie je samostatný malvér, ale úzko integrovaný rámec komponentov. Jeho infekčný reťazec začína súborom EggStremeFuel (mscorsvc.dll), ktorý profiluje systém pred nasadením EggStremeLoader na zabezpečenie perzistencie. Nasleduje EggStremeReflectiveLoader, ktorý spúšťa hlavné zadné vrátka EggStremeAgent.
Bezsúborové vykonávanie frameworku zabezpečuje, že škodlivý kód beží výlučne v pamäti a zanecháva minimálne stopy na disku. Okrem toho použitie bočného načítavania DLL v celom reťazci útoku komplikuje detekciu a forenznú analýzu.
EggStremeAgent: Centrálny nervový systém
Jadrom frameworku je EggStremeAgent, plne funkčný backdoor, ktorý funguje ako primárne kontrolné centrum útočníka. Umožňuje prieskum systému, eskaláciu privilégií a laterálny pohyb a zároveň nasadzuje EggStremeKeylogger na zachytávanie stlačení klávesov v rámci aktívnych používateľských relácií.
Zadné vrátka komunikujú so svojou infraštruktúrou velenia a riadenia (C2) prostredníctvom protokolu Google Remote Procedure Call (gRPC) a podporujú ohromujúcich 58 príkazov, od exfiltrácie dát a vykonávania shellcode až po vkladanie užitočného zaťaženia.
Jeden pomocný implantát, EggStremeWizard (xwizards.dll), poskytuje útočníkom možnosti reverzného shellu a prenosu súborov. Jeho dizajn zahŕňa viacero serverov C2, čo zaisťuje odolnosť aj v prípade narušenia prevádzky jedného servera.
Možnosti EggStremeFuel
Počiatočný modul, EggStremeFuel, má za úlohu prieskum a nadviazanie komunikácie s infraštruktúrou útočníkov. Umožňuje operátorom:
- Zhromaždite informácie o systémových jednotkách.
- Spustite cmd.exe a udržiavajte komunikáciu cez kanály.
- Preneste externú IP adresu zariadenia pomocou adresy myexternalip.com/raw.
- Čítať lokálne a vzdialené súbory, ukladať alebo prenášať ich obsah.
- Vypísať konfiguračné údaje z pamäte na disk.
- V prípade potreby ukončite pripojenia.
Taktiky, techniky a nástroje
Útočníci neustále využívajú bočné načítavanie DLL spúšťaním legitímnych binárnych súborov, ktoré načítavajú škodlivé DLL. Taktiež integrujú proxy utilitu Stowaway na zabezpečenie svojho miesta v interných sieťach. V kombinácii s bezsúborovým tokom vykonávania škodlivého softvéru umožňujú tieto techniky splynúť s bežnou činnosťou systému a vyhnúť sa detekcii tradičnými bezpečnostnými nástrojmi.
Geopolitický kontext a výzvy spojené s atribuciou
Útoky na filipínske subjekty skupinami prepojenými s Čínou nie sú nové a pravdepodobne sú ovplyvnené prebiehajúcimi územnými spormi v Juhočínskom mori, do ktorých sú zapojené Čína, Vietnam, Filipíny, Taiwan, Malajzia a Brunej.
Hoci táto konkrétna kampaň nebola pripísaná žiadnej známej čínskej skupine APT, jej ciele a záujmy sa silne zhodujú s cieľmi a záujmami historicky spájanými s čínskymi štátom sponzorovanými aktérmi. Výskumníci začali sledovať túto aktivitu začiatkom roka 2024, ale zatiaľ ju definitívne neprepojili s existujúcou hrozbou.
Pretrvávajúca a vyhýbavá hrozba
Rodina malvéru EggStreme sa vyznačuje vysokou úrovňou sofistikovanosti, perzistencie a prispôsobivosti. Jeho spoliehanie sa na bezsúborové techniky, viacstupňové vykonávanie a redundantnú infraštruktúru C2 podčiarkuje pokročilé znalosti operátorov o moderných obranných opatreniach. Pre obrancov slúži táto kampaň ako pripomienka vyvíjajúcej sa krajiny hrozieb a dôležitosti proaktívnych stratégií detekcie a reakcie.
