Zlonamerna programska oprema EggStreme Fileless
Vojaško podjetje s sedežem na Filipinih je postalo žrtev sofisticirane kibernetske vohunske kampanje, povezane z napredno skupino za vztrajne grožnje (APT), za katero velja, da izvira iz Kitajske. Napadalci so izkoristili doslej neznano ogrodje zlonamerne programske opreme brez datotek, imenovano EggStreme, ki je zasnovano za ohranjanje dolgoročnega in neopaznega dostopa do ogroženih sistemov.
Kazalo
Okvir EggStreme: večstopenjski in brez datotek
EggStreme ni posamezen kos zlonamerne programske opreme, temveč tesno integriran okvir komponent. Njegova veriga okužbe se začne z EggStremeFuel (mscorsvc.dll), ki profilira sistem, preden namesti EggStremeLoader za vzpostavitev trajnosti. Sledi EggStremeReflectiveLoader, ki sproži glavna zadnja vrata, EggStremeAgent.
Izvajanje ogrodja brez datotek zagotavlja, da se zlonamerna koda v celoti izvaja v pomnilniku in pušča minimalne sledi na disku. Poleg tega uporaba stranskega nalaganja DLL v celotni napadalni verigi otežuje odkrivanje in forenziko.
EggStremeAgent: Osrednji živčni sistem
V jedru ogrodja leži EggStremeAgent, popolnoma funkcionalna zadnja vrata, ki delujejo kot glavno nadzorno središče napadalca. Omogočajo izvidovanje sistema, stopnjevanje privilegijev in lateralno premikanje, hkrati pa uporabljajo EggStremeKeylogger za zajemanje pritiskov tipk med aktivnimi uporabniškimi sejami.
Zadnja vrata komunicirajo s svojo infrastrukturo ukazov in nadzora (C2) prek protokola Google Remote Procedure Call (gRPC) in podpirajo osupljivih 58 ukazov, od izkrcavanja podatkov in izvajanja shellcode do vbrizgavanja koristnega tovora.
Pomožni vsadek, EggStremeWizard (xwizards.dll), napadalcem omogoča obratno lupino in prenos datotek. Njegova zasnova vključuje več strežnikov C2, kar zagotavlja odpornost tudi v primeru motenj v delovanju enega strežnika.
Zmogljivosti EggStremeFuel
Začetni modul, EggStremeFuel, je zadolžen za izvidovanje in vzpostavljanje komunikacije z infrastrukturo napadalcev. Operaterjem omogoča:
- Zberite podatke o sistemskem pogonu.
- Zaženite cmd.exe in vzdržujte komunikacijo prek cevovodov.
- Zunanji IP-naslov naprave prenesite z uporabo myexternalip.com/raw.
- Branje lokalnih in oddaljenih datotek, shranjevanje ali prenašanje njihove vsebine.
- Izpiši konfiguracijske podatke iz pomnilnika na disk.
- Po potrebi prekinite povezave.
Taktike, tehnike in orodja
Grožnje dosledno uporabljajo stransko nalaganje DLL-jev z zagonom legitimnih binarnih datotek, ki nalagajo zlonamerne DLL-je. Integrirajo tudi pripomoček proxy Stowaway za zaščito v notranjih omrežjih. V kombinaciji s potekom izvajanja zlonamerne programske opreme brez datotek te tehnike omogočajo, da se operacija zlije z običajno aktivnostjo sistema in se izogne zaznavanju s strani tradicionalnih varnostnih orodij.
Geopolitični kontekst in izzivi pripisovanja
Napadi filipinskih subjektov s strani skupin, povezanih s Kitajsko, niso novi in so verjetno posledica nenehnih ozemeljskih sporov v Južnokitajskem morju, v katere so vpleteni Kitajska, Vietnam, Filipini, Tajvan, Malezija in Brunej.
Čeprav ta specifična kampanja ni bila pripisana nobeni znani kitajski skupini APT, so njeni cilji in interesi močno skladni s tistimi, ki so bili zgodovinsko povezani s kitajskimi akterji, ki jih sponzorira država. Raziskovalci so začeli spremljati aktivnost v začetku leta 2024, vendar je še niso dokončno povezali z obstoječo skupino grožnje.
Vztrajna in izmikajoča se grožnja
Družina zlonamerne programske opreme EggStreme izpostavlja visoko stopnjo prefinjenosti, vztrajnosti in prilagodljivosti. Njena odvisnost od tehnik brez datotek, večstopenjskega izvajanja in redundantne infrastrukture C2 poudarja napredno znanje operaterjev o sodobnih obrambnih ukrepih. Za branilce ta kampanja služi kot opomnik na razvijajočo se krajino groženj in pomen proaktivnih strategij odkrivanja in odzivanja.
