Rabattoffert för flera licenser
Hotdatabas Skadlig programvara EggStreme fillös skadlig kod

EggStreme fillös skadlig kod

Med Mezo år Skadlig programvara, Advanced Persistent Threat (APT)
Översätt till:

Ett militärt företag baserat i Filippinerna har fallit offer för en sofistikerad cyberspionagekampanj kopplad till en avancerad APT-grupp (Advanced Persistent Threat) som tros komma från Kina. Angriparna utnyttjade ett tidigare okänt fillöst ramverk för skadlig kod kallat EggStreme, utformat för att upprätthålla långsiktig, diskret åtkomst till komprometterade system.

EggStreme-ramverket: Flerstegs och fillöst

EggStreme är inte en enda skadlig kod utan ett tätt integrerat ramverk av komponenter. Dess infektionskedja börjar med EggStremeFuel (mscorsvc.dll), som profilerar systemet innan EggStremeLoader driftsätts för att fastställa beständighet. Detta följs av EggStremeReflectiveLoader, som utlöser den huvudsakliga bakdörren, EggStremeAgent.

Ramverkets fillösa exekvering säkerställer att skadlig kod körs helt i minnet och lämnar minimala spår på disken. Dessutom komplicerar användningen av DLL-sidladdning genom hela attackkedjan detektering och forensisk undersökning.

EggStremeAgent: Det centrala nervsystemet

Kärnan i ramverket ligger EggStremeAgent, en fullt fungerande bakdörr som fungerar som angriparens primära kontrollnav. Den möjliggör systemrekognoscering, privilegieeskalering och lateral förflyttning samtidigt som den distribuerar EggStremeKeylogger för att fånga tangenttryckningar över aktiva användarsessioner.

Bakdörren kommunicerar med sin kommando- och kontrollinfrastruktur (C2) via Google Remote Procedure Call (gRPC)-protokollet och stöder hela 58 kommandon, allt från dataexfiltrering och shellcode-körning till nyttolastinjektion.

Ett hjälpimplantat, EggStremeWizard (xwizards.dll), ger angripare ett omvänt skal och filöverföringsfunktioner. Dess design inkluderar flera C2-servrar, vilket säkerställer motståndskraft även om en server störs.

EggStremeFuels funktioner

Den initiala modulen, EggStremeFuel, har till uppgift att rekognosera och upprätta kommunikation med angriparnas infrastruktur. Den gör det möjligt för operatörerna att:

  • Samla in information om systemenheten.
  • Starta cmd.exe och upprätthåll kommunikationen via pipes.
  • Överför maskinens externa IP-adress med hjälp av myexternalip.com/raw.
  • Läs lokala och fjärrfiler, spara eller överför deras innehåll.
  • Dumpa konfigurationsdata i minnet till disk.
  • Stäng av anslutningar vid behov.

Taktik, tekniker och verktyg

Hotaktörerna använder konsekvent DLL-sidladdning genom att starta legitima binärfiler som laddar skadliga DLL-filer. De integrerar också proxyverktyget Stowaway för att säkra ett fotfäste i interna nätverk. I kombination med skadlig programvaras fillösa exekveringsflöde gör dessa tekniker att operationen kan smälta in i normal systemaktivitet och undvika upptäckt av traditionella säkerhetsverktyg.

Geopolitisk kontext och attributionsutmaningar

Att kinesisk-kopplade grupper riktar in sig på filippinska enheter är inte nytt och påverkas sannolikt av pågående territoriella tvister i Sydkinesiska havet som involverar Kina, Vietnam, Filippinerna, Taiwan, Malaysia och Brunei.

Även om denna specifika kampanj inte har tillskrivits någon känd kinesisk APT-grupp, överensstämmer målen och intressena starkt med de som historiskt sett är förknippade med kinesiska statssponsrade aktörer. Forskare började spåra aktiviteten i början av 2024 men har ännu inte slutgiltigt kopplat den till en befintlig hotgrupp.

Ett ihållande och undvikande hot

EggStreme-familjen av skadlig kod kännetecknas av hög sofistikering, uthållighet och anpassningsförmåga. Dess beroende av fillösa tekniker, flerstegsexekvering och redundant C2-infrastruktur understryker operatörernas avancerade kunskap om moderna försvarsåtgärder. För försvarare fungerar denna kampanj som en påminnelse om det föränderliga hotlandskapet och vikten av proaktiva detekterings- och responsstrategier.

Trendigt

Mest sedda

Läser in...