EggStreme Fileless Malware

Isang kumpanyang militar na nakabase sa Pilipinas ang naging biktima ng isang sopistikadong cyber-espionage campaign na nakatali sa isang advanced persistent threat (APT) group na pinaniniwalaang nagmula sa China. Ginamit ng mga umaatake ang isang dating hindi kilalang fileless malware framework na tinatawag na EggStreme, na idinisenyo upang mapanatili ang pangmatagalan, mababang profile na access sa mga nakompromisong system.

Ang EggStreme Framework: Multi-Stage at Fileless

Ang EggStreme ay hindi isang piraso ng malware ngunit isang mahigpit na pinagsama-samang balangkas ng mga bahagi. Ang chain ng impeksyon nito ay nagsisimula sa EggStremeFuel (mscorsvc.dll), na nagpo-profile sa system bago i-deploy ang EggStremeLoader upang magtatag ng persistence. Sinusundan ito ng EggStremeReflectiveLoader, na nag-trigger sa pangunahing backdoor, EggStremeAgent.

Tinitiyak ng walang file na pagpapatupad ng framework na ang malisyosong code ay ganap na tumatakbo sa memorya, na nag-iiwan ng kaunting mga bakas sa disk. Bilang karagdagan, ang paggamit ng DLL sideloading sa buong chain ng pag-atake ay nagpapalubha sa pagtuklas at forensics.

EggStremeAgent: Ang Central Nervous System

Nasa core ng framework ang EggStremeAgent, isang fully functional na backdoor na gumagana bilang pangunahing control hub ng attacker. Nagbibigay-daan ito sa system reconnaissance, privilege escalation, at lateral movement habang ini-deploy din ang EggStremeKeylogger upang makuha ang mga keystroke sa mga aktibong session ng user.

Nakikipag-ugnayan ang backdoor sa command-and-control (C2) na imprastraktura nito sa pamamagitan ng Google Remote Procedure Call (gRPC) protocol at sumusuporta sa nakakagulat na 58 command, mula sa data exfiltration at shellcode execution hanggang sa payload injection.

Ang isang auxiliary implant, ang EggStremeWizard (xwizards.dll), ay nagbibigay sa mga attacker ng reverse shell at mga kakayahan sa paglilipat ng file. Ang disenyo nito ay nagsasama ng maraming C2 server, na tinitiyak ang katatagan kahit na ang isang server ay nagambala.

Mga Kakayahan ng EggStremeFuel

Ang paunang module, ang EggStremeFuel, ay naatasan sa reconnaissance at pagtatatag ng komunikasyon sa imprastraktura ng mga umaatake. Pinapayagan nito ang mga operator na:

• Ipunin ang impormasyon ng system drive.
• Simulan ang cmd.exe at panatilihin ang komunikasyon sa pamamagitan ng mga tubo.
• Ipadala ang panlabas na IP address ng makina gamit ang myexternalip.com/raw.
• Basahin ang mga lokal at malayuang file, i-save o ipadala ang kanilang nilalaman.
• Dump in-memory configuration data sa disk.
• Isara ang mga koneksyon kapag kinakailangan.

Mga Taktika, Teknik, at Mga Tool

Ang mga banta ng aktor ay patuloy na gumagamit ng DLL sideloading sa pamamagitan ng paglulunsad ng mga lehitimong binary na naglo-load ng mga nakakahamak na DLL. Isinasama rin nila ang Stowaway proxy utility upang makakuha ng isang foothold sa loob ng mga panloob na network. Kasama ng walang file na daloy ng pagpapatupad ng malware, pinapayagan ng mga diskarteng ito ang operasyon na maghalo sa normal na aktibidad ng system at maiwasan ang pagtuklas ng mga tradisyunal na tool sa seguridad.

Geopolitical na Konteksto at Mga Hamon sa Pagpapatungkol

Ang pag-target sa mga entidad ng Pilipinas ng mga grupong nauugnay sa China ay hindi na bago at malamang na naiimpluwensyahan ng patuloy na mga alitan sa teritoryo sa South China Sea na kinasasangkutan ng China, Vietnam, Pilipinas, Taiwan, Malaysia, at Brunei.

Bagama't ang partikular na kampanyang ito ay hindi naiugnay sa anumang kilalang Chinese APT group, ang mga layunin at interes ay lubos na naaayon sa mga dating nauugnay sa mga aktor na inisponsor ng estado ng China. Sinimulan ng mga mananaliksik na subaybayan ang aktibidad noong unang bahagi ng 2024 ngunit hindi pa rin ito maiugnay sa isang umiiral na grupo ng pagbabanta.

Isang Patuloy at Umiiwas na Banta

Itinatampok ng pamilya ng EggStreme malware ang isang mataas na antas ng pagiging sopistikado, pagtitiyaga, at kakayahang umangkop. Ang pag-asa nito sa mga diskarteng walang file, multi-stage na pagpapatupad, at kalabisan na imprastraktura ng C2 ay binibigyang-diin ang advanced na kaalaman ng mga operator sa mga modernong hakbang sa pagtatanggol. Para sa mga tagapagtanggol, ang kampanyang ito ay nagsisilbing paalala ng umuusbong na tanawin ng pagbabanta at ang kahalagahan ng maagap na pagtuklas at mga diskarte sa pagtugon.