EggStreme 無檔案惡意軟體

一家菲律賓軍事公司淪為一場複雜網路間諜活動的受害者，該活動與一個據信源自中國的高級持續性威脅 (APT) 組織有關。攻擊者利用了一種先前未知的無檔案惡意軟體框架 EggStreme，該框架旨在長期、低調地存取受感染系統。

EggStreme 框架：多階段與無文件

EggStreme 並非單一惡意軟體，而是一個緊密整合的元件框架。其感染鏈始於 EggStremeFuel (mscorsvc.dll)，它會先對系統進行分析，然後再部署 EggStremeLoader 來建立持久性。接下來是 EggStremeReflectiveLoader，它會觸發主後門 EggStremeAgent。

此框架的無檔案執行機制確保惡意程式碼完全在記憶體中運行，在磁碟上留下的痕跡極少。此外，在整個攻擊鏈中使用 DLL 側載入技術，使得偵測和取證更加複雜。

EggStremeAgent：中樞神經系統

該框架的核心是 EggStremeAgent，這是一個功能齊全的後門，可作為攻擊者的主要控制中心。它能夠進行系統偵察、權限提升和橫向移動，同時也部署 EggStremeKeylogger 來擷取活躍使用者工作階段中的按鍵操作。

此後門透過 Google 遠端程序呼叫 (gRPC) 協定與其命令和控制 (C2) 基礎設施進行通信，並支援多達 58 個命令，包括資料外洩、shellcode 執行和有效載荷注入。

輔助植入程式 EggStremeWizard (xwizards.dll) 為攻擊者提供了反向 Shell 和檔案傳輸功能。其設計整合了多個 C2 伺服器，即使其中一台伺服器發生故障，也能確保系統復原能力。

EggStremeFuel 的功能

初始模組 EggStremeFuel 的任務是偵察並與攻擊者的基礎設施建立通訊。它允許操作員執行以下操作：

• 收集系統驅動器資訊。
• 啟動cmd.exe並透過管道保持通訊。
• 使用 myexternalip.com/raw 傳輸機器的外部 IP 位址。
• 讀取本機和遠端文件，保存或傳輸其內容。
• 將記憶體中的配置資料轉儲到磁碟。
• 需要時關閉連線。

策略、技術和工具

威脅行為者持續使用 DLL 側載技術，即啟動合法二進位檔案並載入惡意 DLL。他們還整合了 Stowaway 代理實用程序，以確保在內部網路中立足。結合惡意軟體的無檔案執行流程，這些技術使操作能夠融入正常的系統活動，並逃避傳統安全工具的偵測。

地緣政治背景與歸因挑戰

與中國有關的團體針對菲律賓實體並不是新鮮事，而且很可能受到中國、越南、菲律賓、台灣、馬來西亞和汶萊在南海持續不斷的領土爭端的影響。

雖然這次攻擊活動尚未被歸咎於任何已知的中國APT組織，但其目標和利益與歷史上與中國國家支持的行為體相關的目標和利益高度一致。研究人員於2024年初開始追蹤該活動，但尚未最終確定其與任何現有威脅組織有關聯。

持續且規避性的威脅

EggStreme 惡意軟體家族凸顯了其高度的複雜性、持久性和適應性。它依賴於無檔案技術、多階段執行和冗餘的 C2 基礎設施，凸顯了其營運商對現代防禦措施的精通。對防禦者來說，這次攻擊活動提醒我們，威脅情勢正在不斷演變，主動偵測和回應策略的重要性也日益凸顯。