Çin’den Gelişmiş Kalıcı Tehdit (APT) grubu, daha önce belgelenmemiş bir söz konusu Filless kötü amaçlı yazılım çerçevesi kullanılarak Filipinler merkezli bir askeri şirketin uzlaşmasına atfedildi. Eggstreme.
Bitdefender araştırmacısı Bogdan Zavadovschi, “Bu çok aşamalı araç seti, kötü niyetli kodları doğrudan belleğe enjekte ederek ve yükleri yürütmek için DLL kenar yükünden yararlanarak kalıcı, düşük profilli casusluk elde ediyor.” Dedi.
“Çekirdek bileşen, Eggstremeagent, enjekte edilen bir Keylogger aracılığıyla kapsamlı sistem keşif, yanal hareket ve veri hırsızlığı sağlayan tam özellikli bir arka kapıdır.”
Filipinler’in hedeflenmesi, özellikle Çin, Vietnam, Filipinler, Tayvan, Malezya ve Brunei arasındaki Güney Çin Denizi’ndeki bölgesel anlaşmazlıkların körüklediği jeopolitik gerilimler ışığında, Çin devlet destekli hack grupları için tekrar eden bir modeldir.
2024’ün başlarında ilk olarak kötü amaçlı aktivite belirtileri tespit eden Romen siber güvenlik satıcısı, Eggstreme’yi enfekte makinelerde “esnek bir taban” oluşturmak için tasarlanmış sıkı bir şekilde entegre bir kötü amaçlı bileşen seti olarak tanımladı.
Çok aşamalı işlemin başlangıç noktası, sistem profilini yöneten ve yumurta işlemcisi düzenleme yapmak için Eggstremeloader’ı dağıtan ve daha sonra yumurta olarak tetikleyen Eggstremeloader’ı dağıtan Eggstremefuel (“Mscorsvc.dll”) adı verilen bir yüktür.
Eggstremefuel’in işlevleri, bir komut ve kontrol (C2) ile aktif bir iletişim kanalı açarak–
- Sürücü Bilgileri Alın
- CMD.EXE’yi başlatın ve borular aracılığıyla iletişim kurun
- Tüm bağlantıları zarifçe kapatın ve kapatma
- Sunucudan bir dosya okuyun ve diske kaydedin
- Belirli bir yoldan yerel bir dosya okuyun ve içeriğini iletin
- MyExternalip’e bir istekte bulunarak harici IP adresini gönderin[.]com/ham
- Bellek içi yapılandırmayı diske atın
Eggstremeagent olarak çerçevenin “merkezi sinir sistemi” olarak adlandırılan arka kapı, yeni kullanıcı oturumlarını izleyerek çalışır ve her oturum için tuş vuruşlarını ve diğer hassas verileri hasat etmek için EggstremeKeyLogger olarak adlandırılan bir Keylogger bileşeni enjekte eder. Google Uzaktan Yordam Çağrı (GRPC) protokolünü kullanarak bir C2 sunucusu ile iletişim kurar.
Yerel ve ağ keşfini, sistem numaralandırmasını, keyfi kabuk kodu yürütülmesini, ayrıcalık artışını, yanal hareketi, veri eksfiltrasyonunu ve yük enjeksiyonunu kolaylaştırmak için çok çeşitli yetenekleri sağlayan etkileyici bir 58 komutu destekler.
Zavadovschi, “Saldırganlar bunu, saldırı zinciri boyunca sürekli olarak kötüye kullandıkları bir teknik olan kötü niyetli DLL’yi kenar yükleyen meşru bir ikili başlatmak için kullanıyor.”
“Bu ikincil arka kapı, ters kabuk erişimi ve dosya yükleme/indirme özellikleri sağlar. Tasarımı aynı zamanda bir çoklu C2 sunucusunun bir listesini içerir, esnekliğini artırır ve bir C2 sunucusu çevrimdışı olsa bile saldırganla iletişimin korunabilmesini sağlar.”
Etkinlik, dahili bir ağ tabanı oluşturmak için STOWAWAWA Proxy yardımcı programının kullanımı ile de karakterize edilir. Karmaşık algılama ayrıca, çerçevenin fitilsiz doğasıdır ve kötü amaçlı kodun diskte herhangi bir iz bırakmadan doğrudan bellekte yüklenmesine ve yürütülmesine neden olur.
Bitdefender, “Bu, DLL yan yüklemenin ve sofistike, çok aşamalı yürütme akışının ağır kullanımı ile birleştiğinde, çerçevenin düşük bir profille çalışmasına izin vererek önemli ve kalıcı bir tehdit haline getiriyor.” Dedi.
“Eggstreme kötü amaçlı yazılım ailesi, kalıcı erişim, yanal hareket ve veri yayılımı elde etmek için tasarlanmış son derece sofistike ve çok bileşenli bir tehdittir. Tehdit oyuncusu, tespitten kaçınmak için çeşitli taktikler kullanarak modern savunma tekniklerinin ileri bir anlayışını gösterir.”