EggStreme Fileless Malware

ఫిలిప్పీన్స్‌కు చెందిన ఒక సైనిక సంస్థ చైనా నుండి ఉద్భవించిందని భావిస్తున్న అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్ (APT) గ్రూప్‌తో ముడిపడి ఉన్న అధునాతన సైబర్-గూఢచర్య ప్రచారానికి బలైంది. దాడి చేసేవారు గతంలో తెలియని ఫైల్‌లెస్ మాల్వేర్ ఫ్రేమ్‌వర్క్‌ను ఉపయోగించుకున్నారు, ఇది రాజీపడిన వ్యవస్థలకు దీర్ఘకాలిక, తక్కువ ప్రొఫైల్ యాక్సెస్‌ను నిర్వహించడానికి రూపొందించబడింది.

ఎగ్‌స్ట్రీమ్ ఫ్రేమ్‌వర్క్: మల్టీ-స్టేజ్ మరియు ఫైల్‌లెస్

ఎగ్‌స్ట్రీమ్ అనేది మాల్వేర్ యొక్క ఒక భాగం కాదు, కానీ భాగాల యొక్క దృఢంగా ఇంటిగ్రేటెడ్ ఫ్రేమ్‌వర్క్. దీని ఇన్ఫెక్షన్ గొలుసు EggStremeFuel (mscorsvc.dll)తో ప్రారంభమవుతుంది, ఇది స్థిరత్వాన్ని స్థాపించడానికి EggStremeLoaderని అమలు చేయడానికి ముందు సిస్టమ్‌ను ప్రొఫైల్ చేస్తుంది. దీని తర్వాత EggStremeReflectiveLoader వస్తుంది, ఇది ప్రధాన బ్యాక్‌డోర్, EggStremeAgentని ప్రేరేపిస్తుంది.

ఫ్రేమ్‌వర్క్ యొక్క ఫైల్‌లెస్ ఎగ్జిక్యూషన్ హానికరమైన కోడ్ పూర్తిగా మెమరీలో నడుస్తుందని నిర్ధారిస్తుంది, డిస్క్‌లో కనీస జాడలను వదిలివేస్తుంది. అదనంగా, దాడి గొలుసు అంతటా DLL సైడ్‌లోడింగ్ వాడకం గుర్తింపు మరియు ఫోరెన్సిక్‌లను క్లిష్టతరం చేస్తుంది.

ఎగ్‌స్ట్రీమ్ ఏజెంట్: కేంద్ర నాడీ వ్యవస్థ

ఈ ఫ్రేమ్‌వర్క్ యొక్క ప్రధాన భాగంలో EggStremeAgent ఉంది, ఇది దాడి చేసేవారి ప్రాథమిక నియంత్రణ కేంద్రంగా పనిచేసే పూర్తిగా పనిచేసే బ్యాక్‌డోర్. ఇది సిస్టమ్ నిఘా, ప్రత్యేక హక్కుల పెరుగుదల మరియు పార్శ్వ కదలికను అనుమతిస్తుంది, అదే సమయంలో యాక్టివ్ యూజర్ సెషన్‌లలో కీస్ట్రోక్‌లను సంగ్రహించడానికి EggStremeKeyloggerని కూడా అమలు చేస్తుంది.

బ్యాక్‌డోర్ దాని కమాండ్-అండ్-కంట్రోల్ (C2) మౌలిక సదుపాయాలతో గూగుల్ రిమోట్ ప్రొసీజర్ కాల్ (gRPC) ప్రోటోకాల్ ద్వారా కమ్యూనికేట్ చేస్తుంది మరియు డేటా ఎక్స్‌ఫిల్ట్రేషన్ మరియు షెల్‌కోడ్ ఎగ్జిక్యూషన్ నుండి పేలోడ్ ఇంజెక్షన్ వరకు 58 ఆదేశాలకు మద్దతు ఇస్తుంది.

ఒక సహాయక ఇంప్లాంట్, EggStremeWizard (xwizards.dll), దాడి చేసేవారికి రివర్స్ షెల్ మరియు ఫైల్ బదిలీ సామర్థ్యాలను అందిస్తుంది. దీని డిజైన్ బహుళ C2 సర్వర్‌లను కలిగి ఉంటుంది, ఒక సర్వర్ అంతరాయం కలిగించినప్పటికీ స్థితిస్థాపకతను నిర్ధారిస్తుంది.

ఎగ్‌స్ట్రీమ్ ఇంధనం యొక్క సామర్థ్యాలు

ప్రారంభ మాడ్యూల్, EggStremeFuel, దాడి చేసేవారి మౌలిక సదుపాయాలతో నిఘా మరియు కమ్యూనికేషన్‌ను ఏర్పాటు చేసే పనిని కలిగి ఉంది. ఇది ఆపరేటర్‌లను వీటిని చేయడానికి అనుమతిస్తుంది:

• సిస్టమ్ డ్రైవ్ సమాచారాన్ని సేకరించండి.
• cmd.exe ని ప్రారంభించి పైపుల ద్వారా కమ్యూనికేషన్ నిర్వహించండి.
• myexternalip.com/raw ఉపయోగించి యంత్రం యొక్క బాహ్య IP చిరునామాను ప్రసారం చేయండి.
• స్థానిక మరియు రిమోట్ ఫైళ్ళను చదవండి, వాటి కంటెంట్‌ను సేవ్ చేయండి లేదా ప్రసారం చేయండి.
• ఇన్-మెమొరీ కాన్ఫిగరేషన్ డేటాను డిస్క్‌కి డంప్ చేయండి.
• అవసరమైనప్పుడు కనెక్షన్లను ఆపివేయండి.

వ్యూహాలు, సాంకేతికతలు మరియు ఉపకరణాలు

ఈ ముప్పు కలిగించే వ్యక్తులు హానికరమైన DLLలను లోడ్ చేసే చట్టబద్ధమైన బైనరీలను ప్రారంభించడం ద్వారా DLL సైడ్‌లోడింగ్‌ను నిరంతరం ఉపయోగిస్తారు. అంతర్గత నెట్‌వర్క్‌లలో పట్టు సాధించడానికి వారు స్టోఅవే ప్రాక్సీ యుటిలిటీని కూడా అనుసంధానిస్తారు. మాల్వేర్ యొక్క ఫైల్‌లెస్ ఎగ్జిక్యూషన్ ఫ్లోతో కలిపి, ఈ పద్ధతులు ఆపరేషన్‌ను సాధారణ సిస్టమ్ యాక్టివిటీలో కలపడానికి మరియు సాంప్రదాయ భద్రతా సాధనాల ద్వారా గుర్తింపును తప్పించుకోవడానికి అనుమతిస్తాయి.

భౌగోళిక రాజకీయ సందర్భం మరియు ఆపాదింపు సవాళ్లు

చైనాతో అనుబంధంగా ఉన్న గ్రూపులు ఫిలిప్పీన్స్ సంస్థలను లక్ష్యంగా చేసుకోవడం కొత్త కాదు మరియు దక్షిణ చైనా సముద్రంలో చైనా, వియత్నాం, ఫిలిప్పీన్స్, తైవాన్, మలేషియా మరియు బ్రూనైలతో కూడిన కొనసాగుతున్న ప్రాదేశిక వివాదాల ద్వారా ఇది ప్రభావితమవుతుంది.

ఈ నిర్దిష్ట ప్రచారం ఏ తెలిసిన చైనీస్ APT సమూహానికి ఆపాదించబడనప్పటికీ, లక్ష్యాలు మరియు ఆసక్తులు చారిత్రాత్మకంగా చైనా రాష్ట్ర-ప్రాయోజిత నటులతో ముడిపడి ఉన్న వాటితో బలంగా కలిసి ఉంటాయి. పరిశోధకులు 2024 ప్రారంభంలో ఈ కార్యాచరణను ట్రాక్ చేయడం ప్రారంభించారు, కానీ ఇంకా దానిని ఇప్పటికే ఉన్న ముప్పు సమూహంతో నిశ్చయంగా లింక్ చేయలేదు.

నిరంతర మరియు తప్పించుకునే ముప్పు

ఎగ్‌స్ట్రీమ్ మాల్వేర్ కుటుంబం అధిక స్థాయి అధునాతనత, నిలకడ మరియు అనుకూలతను హైలైట్ చేస్తుంది. ఫైల్‌లెస్ టెక్నిక్‌లు, బహుళ-దశల అమలు మరియు అనవసరమైన C2 మౌలిక సదుపాయాలపై దాని ఆధారపడటం ఆపరేటర్ల ఆధునిక రక్షణ చర్యల యొక్క అధునాతన జ్ఞానాన్ని నొక్కి చెబుతుంది. రక్షకులకు, ఈ ప్రచారం అభివృద్ధి చెందుతున్న ముప్పు ప్రకృతి దృశ్యాన్ని మరియు చురుకైన గుర్తింపు మరియు ప్రతిస్పందన వ్యూహాల ప్రాముఖ్యతను గుర్తు చేస్తుంది.