Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware EggStreme Fileless Malware

EggStreme Fileless Malware

Nga MezoMalware, Kërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

Një kompani ushtarake me seli në Filipine ka rënë viktimë e një fushate të sofistikuar spiunazhi kibernetik të lidhur me një grup kërcënimesh të avancuara të vazhdueshme (APT) që besohet se e kanë origjinën nga Kina. Sulmuesit përdorën një strukturë keqdashëse pa skedarë të panjohur më parë të quajtur EggStreme, e projektuar për të ruajtur akses afatgjatë dhe me profil të ulët në sisteme të kompromentuara.

Korniza EggStreme: Shumëfazëshe dhe pa skedarë

EggStreme nuk është një program i vetëm keqdashës, por një strukturë e integruar fort e komponentëve. Zinxhiri i tij i infeksionit fillon me EggStremeFuel (mscorsvc.dll), i cili profilizon sistemin përpara se të vendosë EggStremeLoader për të vendosur qëndrueshmëri. Kjo pasohet nga EggStremeReflectiveLoader, i cili aktivizon derën kryesore të pasme, EggStremeAgent.

Ekzekutimi pa skedarë i framework-ut siguron që kodi keqdashës të ekzekutohet tërësisht në memorie, duke lënë gjurmë minimale në disk. Përveç kësaj, përdorimi i ngarkimit anësor të DLL-ve në të gjithë zinxhirin e sulmit e ndërlikon zbulimin dhe forenzikën.

Agjenti EggStreme: Sistemi Nervor Qendror

Në thelb të framework-ut qëndron EggStremeAgent, një derë e pasme plotësisht funksionale që vepron si qendra kryesore e kontrollit të sulmuesit. Ai mundëson zbulimin e sistemit, përshkallëzimin e privilegjeve dhe lëvizjen anësore, ndërsa gjithashtu vendos EggStremeKeylogger për të kapur shtypjet e tasteve në të gjitha seancat aktive të përdoruesve.

Dera e pasme komunikon me infrastrukturën e saj të komandës dhe kontrollit (C2) nëpërmjet protokollit Google Remote Procedure Call (gRPC) dhe mbështet një numër marramendës prej 58 komandash, duke filluar nga nxjerrja e të dhënave dhe ekzekutimi i shellcode deri te injektimi i ngarkesës së dobishme.

Një implant ndihmës, EggStremeWizard (xwizards.dll), u ofron sulmuesve një reverse shell dhe aftësi transferimi skedarësh. Dizajni i tij përfshin shumë servera C2, duke siguruar qëndrueshmëri edhe nëse një server ndërpritet.

Aftësitë e EggStremeFuel

Moduli fillestar, EggStremeFuel, ka për detyrë zbulimin dhe vendosjen e komunikimit me infrastrukturën e sulmuesve. Ai u lejon operatorëve të:

  • Mbledh informacionin e diskut të sistemit.
  • Nis cmd.exe dhe mirëmbaj komunikimin përmes tubave.
  • Transmetoni adresën IP të jashtme të makinës duke përdorur myexternallip.com/raw.
  • Lexoni skedarë lokalë dhe të largët, duke ruajtur ose transmetuar përmbajtjen e tyre.
  • Transfero të dhënat e konfigurimit në memorie në disk.
  • Ndërpritni lidhjet kur është e nevojshme.

Taktikat, Teknikat dhe Mjetet

Aktorët kërcënues përdorin vazhdimisht ngarkimin anësor të DLL-ve duke nisur skedarë binare legjitimë që ngarkojnë DLL-të keqdashëse. Ata gjithashtu integrojnë programin proxy Stowaway për të siguruar një pikëmbështetje brenda rrjeteve të brendshme. Të kombinuara me rrjedhën e ekzekutimit pa skedarë të malware-it, këto teknika lejojnë që operacioni të përzihet me aktivitetin normal të sistemit dhe të shmangë zbulimin nga mjetet tradicionale të sigurisë.

Konteksti gjeopolitik dhe sfidat e atribuimit

Shënjestrimi i entiteteve filipinase nga grupe të lidhura me Kinën nuk është i ri dhe ka të ngjarë të jetë i ndikuar nga mosmarrëveshjet e vazhdueshme territoriale në Detin e Kinës Jugore që përfshijnë Kinën, Vietnamin, Filipinet, Tajvanin, Malajzinë dhe Brunein.

Edhe pse kjo fushatë specifike nuk i është atribuar asnjë grupi të njohur kinez APT, objektivat dhe interesat përputhen fort me ato të lidhura historikisht me aktorët e sponsorizuar nga shteti kinez. Studiuesit filluan të gjurmojnë aktivitetin në fillim të vitit 2024, por ende nuk e kanë lidhur atë në mënyrë përfundimtare me një grup kërcënimi ekzistues.

Një kërcënim i vazhdueshëm dhe i pakapshëm

Familja e programeve keqdashëse EggStreme nxjerr në pah një nivel të lartë sofistikimi, këmbënguljeje dhe përshtatshmërie. Mbështetja e saj në teknikat pa skedarë, ekzekutimin me shumë faza dhe infrastrukturën e tepërt C2 nënvizon njohuritë e përparuara të operatorëve për masat moderne mbrojtëse. Për mbrojtësit, kjo fushatë shërben si një kujtesë për peizazhin e kërcënimeve në zhvillim dhe rëndësinë e strategjive proaktive të zbulimit dhe reagimit.

Në trend

Më e shikuara

Po ngarkohet...