EggStreme கோப்பு இல்லாத தீம்பொருள்

பிலிப்பைன்ஸை தளமாகக் கொண்ட ஒரு இராணுவ நிறுவனம், சீனாவிலிருந்து தோன்றியதாக நம்பப்படும் மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தல் (APT) குழுவுடன் இணைக்கப்பட்ட ஒரு அதிநவீன சைபர்-உளவு பிரச்சாரத்திற்கு பலியாகியுள்ளது. தாக்குதல் நடத்தியவர்கள், EggStreme என அழைக்கப்படும் முன்னர் அறியப்படாத கோப்பு இல்லாத தீம்பொருள் கட்டமைப்பைப் பயன்படுத்தினர், இது சமரசம் செய்யப்பட்ட அமைப்புகளுக்கான நீண்டகால, குறைந்த சுயவிவர அணுகலைப் பராமரிக்க வடிவமைக்கப்பட்டுள்ளது.

எக்ஸ்ட்ரீம் கட்டமைப்பு: பல-நிலை மற்றும் கோப்பு இல்லாதது

EggStreme என்பது தீம்பொருளின் ஒரு பகுதி அல்ல, மாறாக கூறுகளின் இறுக்கமாக ஒருங்கிணைக்கப்பட்ட கட்டமைப்பாகும். அதன் தொற்று சங்கிலி EggStremeFuel (mscorsvc.dll) உடன் தொடங்குகிறது, இது நிலைத்தன்மையை நிறுவ EggStremeLoader ஐப் பயன்படுத்துவதற்கு முன்பு கணினியை சுயவிவரப்படுத்துகிறது. இதைத் தொடர்ந்து EggStremeReflectiveLoader வருகிறது, இது முக்கிய பின்கதவான EggStremeAgent ஐத் தூண்டுகிறது.

கட்டமைப்பின் கோப்பு இல்லாத செயலாக்கம் தீங்கிழைக்கும் குறியீடு முழுவதுமாக நினைவகத்தில் இயங்குவதை உறுதிசெய்கிறது, வட்டில் குறைந்தபட்ச தடயங்களை விட்டுச்செல்கிறது. கூடுதலாக, தாக்குதல் சங்கிலி முழுவதும் DLL பக்க ஏற்றுதலைப் பயன்படுத்துவது கண்டறிதல் மற்றும் தடயவியல் ஆகியவற்றை சிக்கலாக்குகிறது.

எக்ஸ்ட்ரீம் ஏஜென்ட்: மத்திய நரம்பு மண்டலம்

இந்த கட்டமைப்பின் மையத்தில் EggStremeAgent உள்ளது, இது தாக்குபவர்களின் முதன்மை கட்டுப்பாட்டு மையமாக செயல்படும் ஒரு முழுமையான செயல்பாட்டு பின்புற கதவு ஆகும். இது கணினி உளவு பார்த்தல், சலுகை அதிகரிப்பு மற்றும் பக்கவாட்டு இயக்கம் ஆகியவற்றை செயல்படுத்துகிறது, அதே நேரத்தில் செயலில் உள்ள பயனர் அமர்வுகளில் விசை அழுத்தங்களைப் பிடிக்க EggStremeKeylogger ஐப் பயன்படுத்துகிறது.

பின்புறக் கதவு அதன் கட்டளை-மற்றும்-கட்டுப்பாட்டு (C2) உள்கட்டமைப்புடன் கூகிள் ரிமோட் ப்ரோசிசர் கால் (gRPC) நெறிமுறை வழியாக தொடர்பு கொள்கிறது மற்றும் தரவு வெளியேற்றம் மற்றும் ஷெல்கோட் செயல்படுத்தல் முதல் பேலோட் இன்ஜெக்ஷன் வரை 58 கட்டளைகளை ஆதரிக்கிறது.

ஒரு துணை உள்வைப்பு, EggStremeWizard (xwizards.dll), தாக்குபவர்களுக்கு தலைகீழ் ஷெல் மற்றும் கோப்பு பரிமாற்ற திறன்களை வழங்குகிறது. இதன் வடிவமைப்பு பல C2 சேவையகங்களை உள்ளடக்கியது, ஒரு சேவையகம் பாதிக்கப்பட்டாலும் கூட மீள்தன்மையை உறுதி செய்கிறது.

EggStremeFuel இன் திறன்கள்

ஆரம்ப தொகுதியான EggStremeFuel, தாக்குபவர்களின் உள்கட்டமைப்புடன் உளவு பார்த்தல் மற்றும் தொடர்பை ஏற்படுத்துதல் ஆகியவற்றுடன் பணிபுரிகிறது. இது ஆபரேட்டர்களை பின்வருவனவற்றை செய்ய அனுமதிக்கிறது:

• கணினி இயக்கி தகவலைச் சேகரிக்கவும்.
• cmd.exe ஐத் தொடங்கி குழாய்கள் வழியாக தொடர்பைப் பராமரிக்கவும்.
• myexternalip.com/raw ஐப் பயன்படுத்தி இயந்திரத்தின் வெளிப்புற IP முகவரியை அனுப்பவும்.
• உள்ளூர் மற்றும் தொலை கோப்புகளைப் படிக்கவும், அவற்றின் உள்ளடக்கத்தைச் சேமிக்கவும் அல்லது அனுப்பவும்.
• நினைவகத்தில் உள்ள உள்ளமைவுத் தரவை வட்டில் டம்ப் செய்யவும்.
• தேவைப்படும்போது இணைப்புகளை துண்டிக்கவும்.

தந்திரோபாயங்கள், நுட்பங்கள் மற்றும் கருவிகள்

அச்சுறுத்தல் நடிகர்கள் தீங்கிழைக்கும் DLLகளை ஏற்றும் முறையான பைனரிகளைத் தொடங்குவதன் மூலம் DLL பக்க ஏற்றுதலைத் தொடர்ந்து பயன்படுத்துகின்றனர். உள் நெட்வொர்க்குகளுக்குள் ஒரு இடத்தைப் பாதுகாக்க அவர்கள் Stowaway ப்ராக்ஸி பயன்பாட்டையும் ஒருங்கிணைக்கின்றனர். தீம்பொருளின் கோப்பு இல்லாத செயல்படுத்தல் ஓட்டத்துடன் இணைந்து, இந்த நுட்பங்கள் செயல்பாட்டை சாதாரண கணினி செயல்பாட்டில் கலக்கவும் பாரம்பரிய பாதுகாப்பு கருவிகளால் கண்டறிதலைத் தவிர்க்கவும் அனுமதிக்கின்றன.

புவிசார் அரசியல் சூழல் மற்றும் பண்புக்கூறு சவால்கள்

சீனாவுடன் தொடர்புடைய குழுக்களால் பிலிப்பைன்ஸ் நிறுவனங்களை குறிவைப்பது புதிதல்ல, மேலும் தென் சீனக் கடலில் சீனா, வியட்நாம், பிலிப்பைன்ஸ், தைவான், மலேசியா மற்றும் புருனே ஆகிய நாடுகளை உள்ளடக்கிய தொடர்ச்சியான பிராந்திய தகராறுகளால் இது பாதிக்கப்படலாம்.

இந்த குறிப்பிட்ட பிரச்சாரம் எந்தவொரு அறியப்பட்ட சீன APT குழுவிற்கும் காரணமாகக் கூறப்படவில்லை என்றாலும், நோக்கங்களும் ஆர்வங்களும் வரலாற்று ரீதியாக சீன அரசு ஆதரவு பெற்ற நடிகர்களுடன் தொடர்புடையவற்றுடன் வலுவாக ஒத்துப்போகின்றன. ஆராய்ச்சியாளர்கள் 2024 ஆம் ஆண்டின் தொடக்கத்தில் இந்த செயல்பாட்டைக் கண்காணிக்கத் தொடங்கினர், ஆனால் இன்னும் ஏற்கனவே உள்ள அச்சுறுத்தல் குழுவுடன் அதை உறுதியாக இணைக்கவில்லை.

ஒரு தொடர்ச்சியான மற்றும் தவிர்க்கும் அச்சுறுத்தல்

EggStreme தீம்பொருள் குடும்பம் உயர் மட்ட நுட்பம், நிலைத்தன்மை மற்றும் தகவமைப்புத் திறனை எடுத்துக்காட்டுகிறது. கோப்பு இல்லாத நுட்பங்கள், பல-நிலை செயல்படுத்தல் மற்றும் தேவையற்ற C2 உள்கட்டமைப்பு ஆகியவற்றின் மீதான அதன் நம்பிக்கை, நவீன தற்காப்பு நடவடிக்கைகள் குறித்த ஆபரேட்டர்களின் மேம்பட்ட அறிவை அடிக்கோடிட்டுக் காட்டுகிறது. பாதுகாவலர்களுக்கு, இந்த பிரச்சாரம் வளர்ந்து வரும் அச்சுறுத்தல் நிலப்பரப்பு மற்றும் முன்கூட்டியே கண்டறிதல் மற்றும் பதில் உத்திகளின் முக்கியத்துவத்தை நினைவூட்டுகிறது.