Злонамерни софтвер без датотека EggStreme
Војна компанија са седиштем на Филипинима постала је жртва софистициране кампање сајбер шпијунаже повезане са напредном групом за перзистентне претње (APT) за коју се верује да потиче из Кине. Нападачи су користили раније непознати систем злонамерног софтвера без датотека назван EggStreme, дизајниран да одржава дугорочни, неприметни приступ компромитованим системима.
Преглед садржаја
Оквир EggStreme-а: Вишестепени и без датотека
EggStreme није један малициозни софтвер, већ чврсто интегрисани оквир компоненти. Његов ланац инфекције почиње са EggStremeFuel (mscorsvc.dll), који профилише систем пре него што покрене EggStremeLoader ради успостављања перзистентности. Након тога следи EggStremeReflectiveLoader, који покреће главни бекдор, EggStremeAgent.
Извршавање без датотека овог фрејмворка осигурава да се злонамерни код у потпуности извршава у меморији, остављајући минималне трагове на диску. Поред тога, коришћење бочног учитавања DLL датотека током целог ланца напада компликује откривање и форензику.
EggStremeAgent: Централни нервни систем
У сржи оквира лежи EggStremeAgent, потпуно функционалан бекдор који функционише као примарни контролни центар нападача. Омогућава извиђање система, ескалацију привилегија и латерално кретање, а истовремено користи EggStremeKeylogger за снимање откуцаја тастера током активних корисничких сесија.
Бакдоор комуницира са својом командно-контролном (C2) инфраструктуром путем протокола Google Remote Procedure Call (gRPC) и подржава чак 58 команди, од извлачења података и извршавања шелкода до убризгавања корисног терета.
Један помоћни имплантат, EggStremeWizard (xwizards.dll), пружа нападачима могућности обрнутог окружења и преноса датотека. Његов дизајн укључује више C2 сервера, осигуравајући отпорност чак и ако је један сервер прекинут.
Могућности EggStremeFuel-а
Почетни модул, EggStremeFuel, задужен је за извиђање и успостављање комуникације са инфраструктуром нападача. Он омогућава оператерима да:
- Прикупите информације о системском диску.
- Покрените cmd.exe и одржавајте комуникацију путем цеви.
- Пренесите екстерну IP адресу машине користећи myexternalip.com/raw.
- Читање локалних и удаљених датотека, чување или пренос њиховог садржаја.
- Избаците податке о конфигурацији из меморије на диск.
- Прекините везе када је потребно.
Тактике, технике и алати
Претње стално користе бочно учитавање DLL-ова покретањем легитимних бинарних датотека које учитавају злонамерне DLL-ове. Такође интегришу прокси услужни програм Stowaway како би осигурали упориште унутар интерних мрежа. У комбинацији са током извршавања злонамерног софтвера без датотека, ове технике омогућавају да се операција уклопи у нормалну активност система и избегне откривање од стране традиционалних безбедносних алата.
Геополитички контекст и изазови атрибуције
Циљање филипинских ентитета од стране група повезаних са Кином није новост и вероватно је под утицајем текућих територијалних спорова у Јужном кинеском мору у којима учествују Кина, Вијетнам, Филипини, Тајван, Малезија и Брунеј.
Иако ова конкретна кампања није приписана ниједној познатој кинеској APT групи, циљеви и интереси се снажно поклапају са онима који су историјски повезани са актерима које спонзорише кинеска држава. Истраживачи су почели да прате активност почетком 2024. године, али је још увек нису коначно повезали са постојећом претећом групом.
Упорна и избегавајућа претња
Породица злонамерних програма EggStreme истиче висок ниво софистицираности, упорности и прилагодљивости. Њено ослањање на технике без датотека, вишестепено извршавање и редундантну C2 инфраструктуру наглашава напредно знање оператера о модерним одбрамбеним мерама. За браниоце, ова кампања служи као подсетник на еволуирајући пејзаж претњи и важност проактивних стратегија откривања и реаговања.
