Daha önce bilinmeyen Gelişmiş Kalıcı Tehdit (APT) Grubu Eggstremestratejik kuruluşlara karşı oldukça hedefli bir casusluk kampanyasında.
2024’ün başlarında ortaya çıkan Eggstreme, meşru Windows Mail yürütülebilir dosyasından yararlanır (Winmail[.]exe) kötü amaçlı bir kütüphaneye yüklenerek, saldırganların diske şifreli yükler yazmadan bellek içi kod yürütülmesine izin vererek.
Bu teknik, geleneksel dosya tabanlı savunmalardan kaçınır ve hassas sektörlerde faaliyet gösteren güvenlik ekipleri arasında alarmlar vermiştir.
Saldırı zinciri, maruz kalan bir SMB hisseleri aracılığıyla teslim edilen bir oturum açma komut dosyası Winmail’i yürüttüğünde başlar[.]Kullanıcının AppData dizininden exe.
Orijinal .NET çalışma zamanı kitaplığını yüklemek yerine, ikili yanlışlıkla yüklenir mscorsvc[.]dllilk aşama yükleyici içerir.
Yüklendikten sonra, bu DLL çağırarak bir ters kabuk oluşturur cmd[.]exe ve bir komut ve kontrol (C2) sunucusuna okuma/yazma boruları oluşturma.
Daha sonra yanal hareket ve kalıcılık, yüksek ayrıcalıklarla çalışan kaçırılmış Windows hizmetleri ile düzenlenir.
Bitdefender analistleri, Eggstreme çerçevesinin her biri operasyonun farklı bir aşamasından sorumlu çok sayıda sıkı entegre bileşenden oluştuğunu belirtti.
Hizmet olarak kayıtlı Eggstremeloader, şifreli bir yük dosyası okur (ielowutil[.]exe[.]mui) ve iki kat daha çıkarır: yansıtıcı bir yükleyici ve çekirdek arka kapı aracısı.
Yansıtıcı enjeksiyonu winlogon.exe veya explorer.exe gibi güvenilir süreçlere kullanarak, rakip bellekte sürekli yürütme sağlar.
Bu çok aşamalı yaklaşım, her bir katman sadece gerektiğinde şifresini çözdü ve enjekte edildi, tespiti son derece zorlaştırır.
Nihai haliyle, Eggstremeagent, ortak TLS tarafından güvence altına alınan ve paylaşılan bir kötü amaçlı sertifika yetkilisi tarafından verilen sertifikalarla kimlik doğrulaması yapan GRPC tabanlı bir iletişim kanalı oluşturur.
.webp)
Arka kapı bellekte olduğunda, 58 komutları uzak parmak izi, dosya manipülasyonu, kayıt defteri işlemleri, proses enjeksiyonu ve RPC taramaları ve WMIC tabanlı uzaktan işlem oluşturma gibi sofistike yan hareketleri etkinleştirir.
Enfeksiyon mekanizması ve dll yan yükleme
Eggstreme’nin ilk enfeksiyonu, Windows kütüphaneleri için arama siparişini ele geçirmek için ince ama güçlü bir kod snippet’inden yararlanır.
.webp)
Winmail.exe’nin yanına kötü niyetli bir DLL yerleştirerek, kötü amaçlı yazılım, meşru ikili olanı saldırgan kontrollü kod yüklemeye zorlar. Temsilci bir snippet aşağıda gösterilmiştir:-
// Pseudo-code illustrating DLL sideloading
HANDLE hModule = LoadLibraryA("mscorsvc[.]dll");
if (hModule) {
FARPROC pFunc = GetProcAddress(hModule, "CorBindToRuntime");
if (pFunc) {
pFunc();
}
}Winmail.exe aradığında LoadLibraryA("mscorsvc[.]dll")Windows yükleyici önce yerel dizini arar ve sistem sürümü yerine kötü amaçlı DLL’yi bulur.
Yükleyici, yükünü bir RC4 anahtarı kullanarak şifresini çözer ("Cookies"), disk üstü bir yapılandırmayı kontrol eder %APPDATA%\Microsoft\Windows\Cookies\Cookies[.]datve bellek içi C2 listesini buna göre günceller.
İlk el sıkışma, kabuk oluşturulmadan önce bütünlüğü sağlayan 32 bayt RC4 şifreli bir anahtar değişiminden oluşur.
Kalıcılık iki tamamlayıcı yaklaşımla elde edilir. Bazı durumlarda, saldırganlar sunulan kayıt defteri değerini değiştirir HKLM\SYSTEM\CurrentControlSet\Services\ Kötü niyetli bir DLL’ye işaret etmek.
Diğerlerinde, hizmet ikili dosyalarını ve hibe yerini alıyorlar SeDebugPrivilegekötü amaçlı yükün güvenilir bir Windows hizmeti bağlamında çalışmasına izin verir.
Her iki yöntem de Eggstreme bileşenlerinin her yeniden başlatmada yeniden yüklenmesini ve esnek bir tabanı korumasını sağlar.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.