Безфайлове шкідливе програмне забезпечення EggStreme
Філіппінська військова компанія стала жертвою складної кібершпигунської кампанії, пов'язаної з групою розслідування постійних загроз (APT), яка, як вважається, походить з Китаю. Зловмисники використовували раніше невідому безфайлову платформу шкідливого програмного забезпечення під назвою EggStreme, розроблену для забезпечення довгострокового та прихованого доступу до скомпрометованих систем.
Зміст
Фреймворк EggStreme: багатоетапний та безфайловий
EggStreme — це не окремий фрагмент шкідливого програмного забезпечення, а тісно інтегрований каркас компонентів. Його ланцюг зараження починається з EggStremeFuel (mscorsvc.dll), який профілює систему перед розгортанням EggStremeLoader для забезпечення стійкості. Далі йде EggStremeReflectiveLoader, який активує головний бекдор, EggStremeAgent.
Безфайлове виконання фреймворку гарантує, що шкідливий код повністю виконується в пам'яті, залишаючи мінімальні сліди на диску. Крім того, використання завантаження DLL по всьому ланцюжку атаки ускладнює виявлення та експертизу.
EggStremeAgent: Центральна нервова система
В основі фреймворку лежить EggStremeAgent, повнофункціональний бекдор, який працює як основний центр контролю зловмисника. Він дозволяє проводити розвідку системи, ескалацію привілеїв та горизонтальне переміщення, а також розгортає EggStremeKeylogger для фіксації натискань клавіш під час активних сеансів користувачів.
Бекдор взаємодіє зі своєю інфраструктурою командування та управління (C2) через протокол Google Remote Procedure Call (gRPC) та підтримує вражаючі 58 команд, починаючи від вилучення даних та виконання шелл-коду і закінчуючи ін'єкцією корисного навантаження.
Один допоміжний імплантат, EggStremeWizard (xwizards.dll), надає зловмисникам можливості зворотної оболонки та передачі файлів. Його конструкція включає кілька серверів C2, що забезпечує стійкість навіть у разі порушення роботи одного з них.
Можливості EggStremeFuel
Початковий модуль, EggStremeFuel, відповідає за розвідку та встановлення зв'язку з інфраструктурою зловмисників. Він дозволяє операторам:
- Зібрати інформацію про системний диск.
- Запустіть cmd.exe та підтримуйте зв'язок через канали.
- Передайте зовнішню IP-адресу машини за допомогою myexternalip.com/raw.
- Читання локальних та віддалених файлів, збереження або передача їхнього вмісту.
- Вивести дані конфігурації з пам'яті на диск.
- За потреби розривайте з'єднання.
Тактика, техніки та інструменти
Зловмисники постійно використовують стороннє завантаження DLL, запускаючи легітимні бінарні файли, які завантажують шкідливі DLL. Вони також інтегрують утиліту проксі-сервера Stowaway для захисту внутрішніх мереж. У поєднанні з безфайловим процесом виконання шкідливого програмного забезпечення ці методи дозволяють операції інтегруватися у звичайну діяльність системи та уникати виявлення традиційними засобами безпеки.
Геополітичний контекст та проблеми атрибуції
Переслідування філіппінських організацій групами, пов'язаними з Китаєм, не є чимось новим і, ймовірно, на них вплинули триваючі територіальні суперечки в Південнокитайському морі за участю Китаю, В'єтнаму, Філіппін, Тайваню, Малайзії та Брунею.
Хоча цю конкретну кампанію не приписують жодній відомій китайській групі APT, її цілі та інтереси тісно пов'язані з тими, що історично пов'язані з китайськими державними суб'єктами. Дослідники почали відстежувати цю діяльність на початку 2024 року, але ще не пов'язали її остаточно з існуючою групою загроз.
Постійна та невловима загроза
Сімейство шкідливих програм EggStreme вирізняється високим рівнем складності, стійкості та адаптивності. Його залежність від безфайлових методів, багатоетапного виконання та надлишкової інфраструктури C2 підкреслює передові знання операторів про сучасні захисні заходи. Для захисників ця кампанія служить нагадуванням про мінливий ландшафт загроз та важливість проактивних стратегій виявлення та реагування.
