มัลแวร์ไร้ไฟล์ EggStreme

บริษัททหารแห่งหนึ่งในฟิลิปปินส์ตกเป็นเหยื่อของแคมเปญจารกรรมทางไซเบอร์ที่ซับซ้อนซึ่งเชื่อมโยงกับกลุ่มภัยคุกคามขั้นสูง (APT) ที่เชื่อว่ามีต้นกำเนิดจากจีน ผู้โจมตีใช้ประโยชน์จากเฟรมเวิร์กมัลแวร์แบบไร้ไฟล์ที่ไม่เคยมีใครรู้จักมาก่อนชื่อ EggStreme ซึ่งออกแบบมาเพื่อรักษาการเข้าถึงระบบที่ถูกบุกรุกในระยะยาวในระดับต่ำ

กรอบงาน EggStreme: หลายขั้นตอนและไม่มีไฟล์

EggStreme ไม่ใช่มัลแวร์ตัวเดียว แต่เป็นเฟรมเวิร์กของส่วนประกอบที่ผสานรวมเข้าด้วยกันอย่างแน่นหนา ห่วงโซ่การติดเชื้อเริ่มต้นด้วย EggStremeFuel (mscorsvc.dll) ซึ่งตรวจสอบโปรไฟล์ระบบก่อนติดตั้ง EggStremeLoader เพื่อสร้างการคงอยู่ ตามด้วย EggStremeReflectiveLoader ซึ่งจะกระตุ้นแบ็คดอร์หลัก EggStremeAgent

การทำงานแบบไร้ไฟล์ของเฟรมเวิร์กช่วยให้มั่นใจได้ว่าโค้ดอันตรายจะทำงานในหน่วยความจำทั้งหมด ทิ้งร่องรอยไว้บนดิสก์น้อยที่สุด นอกจากนี้ การใช้ DLL sideloading ตลอดห่วงโซ่การโจมตียังทำให้การตรวจจับและการตรวจสอบทางนิติวิทยาศาสตร์มีความซับซ้อนมากขึ้น

EggStremeAgent: ระบบประสาทส่วนกลาง

หัวใจสำคัญของเฟรมเวิร์กนี้คือ EggStremeAgent ซึ่งเป็นแบ็คดอร์ที่ทำงานได้เต็มรูปแบบ ซึ่งทำหน้าที่เป็นศูนย์กลางควบคุมหลักของผู้โจมตี แบ็คดอร์นี้ช่วยให้สามารถสำรวจระบบ ยกระดับสิทธิ์ และเคลื่อนไหวตามขอบข่ายได้ ขณะเดียวกันก็ติดตั้ง EggStremeKeylogger เพื่อบันทึกการกดแป้นพิมพ์ในเซสชันผู้ใช้ที่ใช้งานอยู่

แบ็กดอร์สื่อสารกับโครงสร้างพื้นฐานการสั่งการและควบคุม (C2) ผ่านโปรโตคอล Google Remote Procedure Call (gRPC) และรองรับคำสั่งมากถึง 58 คำสั่ง ตั้งแต่การขโมยข้อมูลและการดำเนินการเชลล์โค้ดไปจนถึงการแทรกเพย์โหลด

EggStremeWizard (xwizards.dll) ซึ่งเป็นอิมแพลนต์เสริมตัวหนึ่ง ช่วยให้ผู้โจมตีสามารถย้อนกลับเชลล์และถ่ายโอนไฟล์ได้ การออกแบบของอิมแพลนต์นี้ประกอบด้วยเซิร์ฟเวอร์ C2 หลายตัว ช่วยให้มั่นใจได้ถึงความยืดหยุ่นแม้เซิร์ฟเวอร์ใดเซิร์ฟเวอร์หนึ่งจะหยุดชะงัก

ความสามารถของ EggStremeFuel

โมดูลเริ่มต้น EggStremeFuel มีหน้าที่ลาดตระเวนและสื่อสารกับโครงสร้างพื้นฐานของผู้โจมตี ซึ่งช่วยให้ผู้ปฏิบัติงานสามารถ:

• รวบรวมข้อมูลไดรฟ์ระบบ
• เริ่ม cmd.exe และรักษาการสื่อสารผ่านท่อ
• ส่งที่อยู่ IP ภายนอกของเครื่องโดยใช้ myexternalip.com/raw
• อ่านไฟล์ในเครื่องและระยะไกล บันทึกหรือส่งเนื้อหาของไฟล์เหล่านั้น
• ดัมพ์ข้อมูลการกำหนดค่าในหน่วยความจำลงในดิสก์
• ปิดการเชื่อมต่อเมื่อจำเป็น

กลยุทธ์ เทคนิค และเครื่องมือ

ผู้ก่อภัยคุกคามมักจะใช้ DLL sideloading โดยการเรียกใช้ไฟล์ไบนารีที่ถูกต้องตามกฎหมายเพื่อโหลด DLL ที่เป็นอันตราย พวกเขายังผสานรวมยูทิลิตี้พร็อกซี Stowaway เพื่อรักษาฐานที่มั่นภายในเครือข่ายภายใน เมื่อผสานรวมกับกระบวนการทำงานแบบไร้ไฟล์ของมัลแวร์ เทคนิคเหล่านี้จะช่วยให้การทำงานกลมกลืนไปกับกิจกรรมของระบบปกติและหลีกเลี่ยงการตรวจจับโดยเครื่องมือรักษาความปลอดภัยแบบเดิม

ความท้าทายด้านบริบททางภูมิรัฐศาสตร์และการระบุแหล่งที่มา

การกำหนดเป้าหมายหน่วยงานของฟิลิปปินส์โดยกลุ่มที่มีความเชื่อมโยงกับจีนไม่ใช่เรื่องใหม่ และน่าจะได้รับอิทธิพลจากข้อพิพาทเรื่องอาณาเขตที่กำลังดำเนินอยู่ในทะเลจีนใต้ซึ่งเกี่ยวข้องกับจีน เวียดนาม ฟิลิปปินส์ ไต้หวัน มาเลเซีย และบรูไน

แม้ว่าแคมเปญนี้โดยเฉพาะจะไม่ได้ระบุว่าเป็นของกลุ่ม APT ของจีนที่เป็นที่รู้จัก แต่วัตถุประสงค์และผลประโยชน์ก็สอดคล้องกันอย่างมากกับสิ่งที่เคยเกี่ยวข้องกับกลุ่มที่รัฐบาลจีนให้การสนับสนุนมาโดยตลอด นักวิจัยเริ่มติดตามกิจกรรมนี้ตั้งแต่ต้นปี 2567 แต่ยังไม่แน่ชัดว่าเชื่อมโยงกับกลุ่มภัยคุกคามที่มีอยู่หรือไม่

ภัยคุกคามที่ต่อเนื่องและหลบเลี่ยง

มัลแวร์ตระกูล EggStreme เน้นย้ำถึงความซับซ้อน ความคงทน และความสามารถในการปรับตัวในระดับสูง การพึ่งพาเทคนิคแบบไร้ไฟล์ การดำเนินการแบบหลายขั้นตอน และโครงสร้างพื้นฐาน C2 ที่ซ้ำซ้อน ตอกย้ำความรู้ขั้นสูงของผู้ปฏิบัติงานเกี่ยวกับมาตรการป้องกันที่ทันสมัย สำหรับผู้ป้องกัน แคมเปญนี้เป็นเครื่องเตือนใจถึงภูมิทัศน์ภัยคุกคามที่เปลี่ยนแปลงไป และความสำคัญของกลยุทธ์การตรวจจับและการตอบสนองเชิงรุก