Çinli bir APT grubu, Eggstreme adlı yeni, fitilsiz bir kötü amaçlı yazılım çerçevesi kullanarak bir Filipin askeri şirketinden ödün verdi.
Bu çok aşamalı araç seti, kötü niyetli kodları doğrudan belleğe enjekte ederek ve yükleri yürütmek için DLL sideloading’den yararlanarak kalıcı, düşük profilli casusluk elde eder.
Çekirdek bileşen Eggstremeagent, enjekte edilen bir keylogger aracılığıyla geniş sistem keşif, yanal hareket ve veri hırsızlığı sağlayan tam özellikli bir arka kapıdır.
2024’ün başlarında, bir Filipin Savunma Yüklenicisi sofistike bir siber-ihale kampanyasının hedefi haline geldi.
Araştırma, ileri sözsüz tasarımı ve DLL yan yükleme teknikleri, saldırganların tespitten kaçınmasını ve gizli, uzun vadeli erişimi sürdürmesini sağlayan daha önce görünmeyen bir kötü amaçlı yazılım çerçevesi olduğunu ortaya koydu.
Göstergeler bu operasyonu Güney Çin Denizi bölgesinde stratejik zeka arayan Çin devlet destekli tehdit aktörlerine bağlıyor.
Eggstreme çerçevesi, dikkatli bir şekilde düzenlenmiş bir yükleyici ve enjektör dizisiyle ortaya çıkar.
Bir saldırgan, SMB paylaşımında bir oturum açma komut dosyası yürüttüğünde, kötü amaçlı bir DLL (Mscorsvc.dll) ile birlikte meşru bir posta ikili (winmail.exe) dağıtan %AppData %\ microsoft \ windows \ windows mail \ dizinine yerleştirildiğinde başlar.
Winmail.exe piyasaya sürüldüğünde, DLL-Eggstremefuel-ilk aşama yükleyiciyi tetikler. Eggstremefuel sistem parmak izi gerçekleştirir ve saldırganın C2 altyapısına ters bir kabuk oluşturur.
Ardından, bir Windows hizmeti olarak kayıtlı Eggstremeloader, bir kaynak dosyasından (IELowutil.exe.Mui) iki ek şifreli yükün (EggstremereflicTiveloader ve Eggstremeagent) şifresini çözer.
Yansıtıcı yükleyici, Eggstremeagent’i tamamen bellekte güvenilir bir sürece (winlogon.exe, msmpeng.exe veya explorer.exe) enjekte eder. Bu filessiz enjeksiyon, şifre çözülmüş kodun, geleneksel antivirüs ve uç nokta algılama sistemlerini engelleyerek diske asla düz biçimde dokunmamasını sağlar.
Eggstremiagent arka kapı
Eggstremeagent, GRPC kullanarak karşılıklı TLS üzerinden C2 sunucularıyla iletişim kurarak çekirdek arka kapı olarak işlev görür.
Başlangıçta, yeni kullanıcı oturumları için izler. Explorer.exe’yi bir kullanıcı bağlamı altında tespit ettikten sonra, EggstremeKeylogger’ı bu sürece şifresini çözer ve enjekte eder.
KeyLogger, tuş vuruşlarını, pano içeriğini ve pencere başlıklarını yakalar, günlükleri şifreler ve bunları %localAppData %’lık gizli bir dosyaya yazar.
Eggstremeagent, ayrıntılı ana bilgisayar keşif, dosya ve dizin manipülasyonu, süreç enjeksiyonu, ayrıcalık artış, yanal hareket ve veri açığa çıkmasını sağlayan 58 ayrı komutu ortaya koyar.
Saldırganlar, hizmetleri ve ağ paylaşımlarını numaralandırmak, uzak kabukları başlatmak, ek yükler dağıtmak ve hassas kimlik bilgilerini hasat etmek için bu özelliklerden yararlanır.
Xwizard.exe aracılığıyla yan yüklenen ek bir arka kapı, Eggstremewizard, alternatif C2 kanallarını ve ters kabuk erişimini koruyarak fazlalık sağlar.
Savunma önerileri
Kalıcılığını güvence altına almak için, kötü amaçlı yazılım, meşru hizmet ikili dosyalarını değiştirerek veya kayıt defterini değiştirerek ServiceLLL değerlerini değiştirerek manuel veya engelli Windows hizmetlerini kötüye kullanır.
Aracın başlatma işlevi özeldir ve belirli parametrelerle sabit kodlanmıştır: bir sır (D@RKN3SS) ve bir dinleme bağlantı noktası (8531).
SedebugPrivilege ile yapılandırılmış bu hizmetler, her sistem önyüklemesinde Eggstremeloader’ı başlatın. Saldırganlar, altyapıyı döndürmek ve yayından kaldırmalardan kaçmak için paylaşılan sertifika yetkilileri aracılığıyla bağlantılı IP’ler ve IP’ler ağını korurlar.
Savunucular, yumurta saldırılarını tespit etmek ve bozmak için derinlemesine savunma önlemleri uygulamalıdır. Güvenilir ikili dosyalar, anormal servis kayıt modifikasyonları ve bellek içi enjeksiyon modelleri ile olağandışı DLL yüklerinin izlenmesi erken göstergeleri ortaya çıkarabilir.
Proses oluşturma ve hizmet yapılandırma değişiklikleri için Windows olay günlüğünün etkinleştirilmesi, süreç belleğini denetleyen uç nokta algılamasının kullanılması ve hizmet ikili dosyalarının ve kayıt defteri parametrelerinin düzenli denetimlerini yapmanın da filessiz tehditlere karşı esnekliği güçlendirecektir.
Kalan uyanık ve gelişmiş karaya oturma taktiklerine uyum sağlamak kritiktir. Eggstreme çerçevesini derinlemesine keşfetmek ve araştırmacılarımıza 18 Eylül’de soru sormak için LinkedIn Live Tartışmamıza katılın.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.