Phần mềm độc hại không tệp EggStreme

Một công ty quân sự có trụ sở tại Philippines đã trở thành nạn nhân của một chiến dịch gián điệp mạng tinh vi liên quan đến một nhóm tấn công mạng chuyên sâu (APT) được cho là có nguồn gốc từ Trung Quốc. Những kẻ tấn công đã lợi dụng một nền tảng mã độc không tệp tin chưa từng được biết đến trước đây có tên là EggStreme, được thiết kế để duy trì quyền truy cập lâu dài, kín đáo vào các hệ thống bị xâm nhập.

Khung EggStreme: Nhiều giai đoạn và không có tệp

EggStreme không phải là một phần mềm độc hại đơn lẻ mà là một khung tích hợp chặt chẽ các thành phần. Chuỗi lây nhiễm của nó bắt đầu với EggStremeFuel (mscorsvc.dll), tạo hồ sơ hệ thống trước khi triển khai EggStremeLoader để thiết lập tính bền vững. Tiếp theo là EggStremeReflectiveLoader, kích hoạt cửa hậu chính EggStremeAgent.

Việc thực thi không cần tệp của nền tảng đảm bảo mã độc chạy hoàn toàn trong bộ nhớ, để lại tối thiểu dấu vết trên đĩa. Ngoài ra, việc sử dụng tải DLL phụ trong suốt chuỗi tấn công làm phức tạp việc phát hiện và điều tra.

EggStremeAgent: Hệ thần kinh trung ương

Cốt lõi của nền tảng này là EggStremeAgent, một backdoor đầy đủ chức năng, hoạt động như một trung tâm điều khiển chính của kẻ tấn công. Nó cho phép do thám hệ thống, leo thang đặc quyền và di chuyển ngang, đồng thời triển khai EggStremeKeylogger để ghi lại các lần nhấn phím trên các phiên làm việc của người dùng đang hoạt động.

Cửa hậu giao tiếp với cơ sở hạ tầng chỉ huy và kiểm soát (C2) thông qua giao thức Google Remote Procedure Call (gRPC) và hỗ trợ tới 58 lệnh, từ việc trích xuất dữ liệu và thực thi shellcode cho đến việc tiêm tải trọng.

Một mã độc bổ trợ, EggStremeWizard (xwizards.dll), cung cấp cho kẻ tấn công khả năng đảo ngược shell và truyền tệp. Thiết kế của nó kết hợp nhiều máy chủ C2, đảm bảo khả năng phục hồi ngay cả khi một máy chủ bị gián đoạn.

Khả năng của EggStremeFuel

Mô-đun đầu tiên, EggStremeFuel, có nhiệm vụ trinh sát và thiết lập liên lạc với cơ sở hạ tầng của kẻ tấn công. Nó cho phép người điều hành:

• Thu thập thông tin ổ đĩa hệ thống.
• Khởi động cmd.exe và duy trì giao tiếp thông qua đường ống.
• Truyền địa chỉ IP bên ngoài của máy bằng cách sử dụng myexternalip.com/raw.
• Đọc các tập tin cục bộ và từ xa, lưu hoặc truyền nội dung của chúng.
• Lưu dữ liệu cấu hình trong bộ nhớ vào đĩa.
• Tắt kết nối khi cần thiết.

Chiến thuật, Kỹ thuật và Công cụ

Các tác nhân đe dọa liên tục sử dụng phương thức tải DLL từ bên ngoài bằng cách khởi chạy các tệp nhị phân hợp pháp để tải các DLL độc hại. Chúng cũng tích hợp tiện ích proxy Stowaway để đảm bảo vị thế trong các mạng nội bộ. Kết hợp với luồng thực thi không cần tệp của phần mềm độc hại, các kỹ thuật này cho phép hoạt động ẩn mình vào hoạt động bình thường của hệ thống và tránh bị phát hiện bởi các công cụ bảo mật truyền thống.

Bối cảnh địa chính trị và thách thức về sự quy kết

Việc các nhóm có liên hệ với Trung Quốc nhắm mục tiêu vào các thực thể Philippines không phải là điều mới mẻ và có thể chịu ảnh hưởng từ các tranh chấp lãnh thổ đang diễn ra ở Biển Đông liên quan đến Trung Quốc, Việt Nam, Philippines, Đài Loan, Malaysia và Brunei.

Mặc dù chiến dịch cụ thể này chưa được xác định là của bất kỳ nhóm APT Trung Quốc nào đã biết, nhưng mục tiêu và lợi ích của chúng lại rất phù hợp với những mục tiêu và lợi ích trước đây gắn liền với các tác nhân được nhà nước Trung Quốc bảo trợ. Các nhà nghiên cứu đã bắt đầu theo dõi hoạt động này vào đầu năm 2024 nhưng vẫn chưa thể kết nối nó một cách thuyết phục với bất kỳ nhóm đe dọa nào hiện có.

Một mối đe dọa dai dẳng và khó lường

Nhóm mã độc EggStreme nổi bật với mức độ tinh vi, dai dẳng và khả năng thích ứng cao. Việc sử dụng các kỹ thuật không cần tệp, thực thi đa giai đoạn và cơ sở hạ tầng C2 dự phòng cho thấy kiến thức chuyên sâu của các nhà điều hành về các biện pháp phòng thủ hiện đại. Đối với các bên phòng thủ, chiến dịch này như một lời nhắc nhở về bối cảnh mối đe dọa đang thay đổi và tầm quan trọng của các chiến lược phát hiện và ứng phó chủ động.