EggStreme Dosyasız Kötü Amaçlı Yazılım
Filipinler merkezli bir askeri şirket, Çin menşeli olduğuna inanılan gelişmiş bir kalıcı tehdit (APT) grubuyla bağlantılı karmaşık bir siber casusluk kampanyasının kurbanı oldu. Saldırganlar, ele geçirilmiş sistemlere uzun vadeli, düşük profilli erişim sağlamak için tasarlanmış, EggStreme adlı, daha önce bilinmeyen bir dosyasız kötü amaçlı yazılım çerçevesini kullandılar.
İçindekiler
EggStreme Çerçevesi: Çok Aşamalı ve Dosyasız
EggStreme, tek bir kötü amaçlı yazılım parçası değil, sıkı bir şekilde entegre edilmiş bir bileşen çerçevesidir. Enfeksiyon zinciri, kalıcılığı sağlamak için EggStremeLoader'ı devreye almadan önce sistemi profilleyen EggStremeFuel (mscorsvc.dll) ile başlar. Bunu, ana arka kapı olan EggStremeAgent'ı tetikleyen EggStremeReflectiveLoader takip eder.
Çerçevenin dosyasız yürütülmesi, kötü amaçlı kodun tamamen bellekte çalışmasını ve diskte minimum iz bırakmasını sağlar. Ayrıca, saldırı zinciri boyunca DLL yan yüklemesinin kullanılması, tespit ve adli incelemeyi zorlaştırır.
EggStremeAgent: Merkezi Sinir Sistemi
Çerçevenin merkezinde, saldırganın birincil kontrol merkezi olarak çalışan, tamamen işlevsel bir arka kapı olan EggStremeAgent yer alır. Sistem keşfi, ayrıcalık yükseltme ve yatay hareket kabiliyetinin yanı sıra, aktif kullanıcı oturumları boyunca tuş vuruşlarını yakalamak için EggStremeKeylogger'ı da devreye sokar.
Arka kapı, Google Uzaktan Prosedür Çağrısı (gRPC) protokolü aracılığıyla komuta ve kontrol (C2) altyapısıyla iletişim kuruyor ve veri sızdırma ve kabuk kodu yürütmeden yük enjeksiyonuna kadar uzanan 58 komutu destekliyor.
Yardımcı bir implant olan EggStremeWizard (xwizards.dll), saldırganlara ters kabuk ve dosya aktarım yetenekleri sağlar. Tasarımı, birden fazla C2 sunucusunu bir araya getirerek, bir sunucu kesintiye uğrasa bile dayanıklılığı garanti eder.
EggStremeFuel’in Yetenekleri
İlk modül olan EggStremeFuel, saldırganların altyapısını keşfetmek ve iletişim kurmakla görevlidir. Operatörlerin şunları yapmasına olanak tanır:
- Sistem sürücüsü bilgilerini toplayın.
- cmd.exe'yi başlatın ve borular aracılığıyla iletişimi sürdürün.
- Makinenin harici IP adresini myexternalip.com/raw kullanarak iletin.
- Yerel ve uzak dosyaları okuyun, içeriklerini kaydedin veya iletin.
- Bellekteki yapılandırma verilerini diske aktar.
- Gerektiğinde bağlantıları kapatın.
Taktikler, Teknikler ve Araçlar
Tehdit aktörleri, kötü amaçlı DLL'leri yükleyen meşru ikili dosyalar çalıştırarak sürekli olarak DLL yan yükleme yöntemini kullanırlar. Ayrıca, dahili ağlarda bir dayanak noktası sağlamak için Stowaway proxy yardımcı programını da entegre ederler. Kötü amaçlı yazılımın dosyasız yürütme akışıyla birleştiğinde, bu teknikler operasyonun normal sistem etkinliğine karışmasını ve geleneksel güvenlik araçları tarafından tespit edilmekten kaçınmasını sağlar.
Jeopolitik Bağlam ve Atıf Zorlukları
Çin bağlantılı grupların Filipinli kuruluşları hedef alması yeni bir durum değil ve büyük ihtimalle Çin, Vietnam, Filipinler, Tayvan, Malezya ve Brunei arasında Güney Çin Denizi'nde devam eden toprak anlaşmazlıklarından etkileniyor.
Bu özel kampanya, bilinen herhangi bir Çin APT grubuna atfedilmemiş olsa da, hedefleri ve çıkarları, tarihsel olarak Çin devlet destekli aktörlerle ilişkilendirilenlerle güçlü bir şekilde örtüşmektedir. Araştırmacılar, faaliyeti 2024 başlarında izlemeye başlamış, ancak henüz mevcut bir tehdit grubuyla kesin olarak ilişkilendirememişlerdir.
Kalıcı ve Kaçınılmaz Bir Tehdit
EggStreme kötü amaçlı yazılım ailesi, yüksek düzeyde karmaşıklık, kalıcılık ve uyarlanabilirlik sunar. Dosyasız tekniklere, çok aşamalı yürütmeye ve yedekli C2 altyapısına olan güveni, operatörlerin modern savunma önlemlerine ilişkin ileri düzeydeki bilgilerinin altını çizer. Bu kampanya, savunmacılar için gelişen tehdit ortamının ve proaktif tespit ve müdahale stratejilerinin öneminin bir hatırlatıcısı niteliğindedir.
