EggStreme 无文件恶意软件

一家菲律宾军事公司沦为一场复杂网络间谍活动的受害者，该活动与一个据信源自中国的高级持续性威胁 (APT) 组织有关。攻击者利用了一种此前未知的无文件恶意软件框架 EggStreme，该框架旨在长期、低调地访问受感染系统。

EggStreme 框架：多阶段和无文件

EggStreme 并非单一恶意软件，而是一个紧密集成的组件框架。其感染链始于 EggStremeFuel (mscorsvc.dll)，它会先对系统进行分析，然后部署 EggStremeLoader 来建立持久性。接下来是 EggStremeReflectiveLoader，它会触发主后门 EggStremeAgent。

该框架的无文件执行机制确保恶意代码完全在内存中运行，在磁盘上留下的痕迹极少。此外，在整个攻击链中使用 DLL 侧加载技术，使得检测和取证更加复杂。

EggStremeAgent：中枢神经系统

该框架的核心是 EggStremeAgent，这是一个功能齐全的后门，充当攻击者的主要控制中心。它能够进行系统侦察、权限提升和横向移动，同时还部署 EggStremeKeylogger 来捕获活跃用户会话中的按键操作。

该后门通过 Google 远程过程调用 (gRPC) 协议与其命令和控制 (C2) 基础设施进行通信，并支持多达 58 个命令，包括数据泄露、shellcode 执行和有效载荷注入。

辅助植入程序 EggStremeWizard (xwizards.dll) 为攻击者提供了反向 Shell 和文件传输功能。其设计集成了多个 C2 服务器，即使其中一台服务器发生故障，也能确保系统恢复能力。

EggStremeFuel 的功能

初始模块 EggStremeFuel 的任务是侦察并与攻击者的基础设施建立通信。它允许操作员执行以下操作：

• 收集系统驱动器信息。
• 启动cmd.exe并通过管道保持通信。
• 使用 myexternalip.com/raw 传输机器的外部 IP 地址。
• 读取本地和远程文件，保存或传输其内容。
• 将内存中的配置数据转储到磁盘。
• 需要时关闭连接。

策略、技术和工具

威胁行为者持续使用 DLL 侧载技术，即启动合法二进制文件并加载恶意 DLL。他们还集成了 Stowaway 代理实用程序，以确保在内部网络中立足。结合恶意软件的无文件执行流程，这些技术使操作能够融入正常的系统活动，并逃避传统安全工具的检测。

地缘政治背景与归因挑战

与中国有关联的团体针对菲律宾实体并不是新鲜事，而且很可能受到中国、越南、菲律宾、台湾、马来西亚和文莱在南海持续不断的领土争端的影响。

虽然此次攻击活动尚未被归咎于任何已知的中国APT组织，但其目标和利益与历史上与中国国家支持的行为体相关的目标和利益高度一致。研究人员于2024年初开始追踪该活动，但尚未最终确定其与任何现有威胁组织存在关联。

持续且规避性的威胁

EggStreme 恶意软件家族凸显了其高度的复杂性、持久性和适应性。它依赖于无文件技术、多阶段执行和冗余的 C2 基础设施，凸显了其运营者对现代防御措施的精通。对于防御者来说，此次攻击活动提醒我们，威胁形势正在不断演变，主动检测和响应策略的重要性也日益凸显。