Китайская APT-группа атаковала филиппинскую военную компанию с помощью нового файлового фреймворка EggStreme

Основное внимание в атаке уделялось достижению скрытного и долгосрочного доступа к системам для шпионажа и наблюдения. В отличие от традиционных вредоносных программ, EggStreme работает практически без оставления файловых следов, выполняя вредоносный код непосредственно в памяти и активно используя технику подгрузки DLL (DLL sideloading).

Атака начинается с компонента EggStremeFuel, который разворачивает загрузчик EggStremeLoader для создания устойчивой службы. Последний, в свою очередь, запускает EggStremeReflectiveLoader, а затем основной бэкдор EggStremeAgent. Этот агент является центральным элементом всей платформы - он отслеживает новые пользовательские сессии и для каждой из них внедряет клавиатурный шпион EggStremeKeylogger в процесс explorer.exe, чтобы незаметно собирать вводимые данные и другую конфиденциальную информацию.

EggStremeAgent поддерживает 58 различных команд, что позволяет злоумышленникам проводить разведку системы, перемещаться по сети, выполнять произвольный код, а также загружать дополнительные полезные нагрузки, такие как бэкдор EggStremeWizard. Для маскировки атакующие систематически используют легитимные исполняемые файлы, которые подгружают вредоносные DLL.

Важной особенностью фреймворка является его файловый минимализм. Хотя зашифрованные компоненты присутствуют на диске, расшифрованный вредоносный код выполняется исключительно в оперативной памяти, что значительно усложняет его обнаружение. Это, в сочетании с многоэтапным выполнением и умелым использованием легитимных механизмов Windows, делает EggStreme исключительно скрытным и устойчивым.

Для обеспечения постоянного доступа злоумышленники использовали отключённые или редко используемые службы Windows, такие как MSiSCSI, AppMgmt и SWPRV. В некоторых случаях они меняли значения в реестре, чтобы службы загружали вредоносные DLL, в других - непосредственно подменяли системные файлы.

Инфраструктура управления и контроля (C2) использует TLS-сертификаты, выпущенные одним и тем же центром сертификации, что позволило исследователям выявить несколько связанных доменов, включая whosecity[.]org, webpirat[.]net и другие. Обнаружены признаки того, что группа активно обновляет свою инфраструктуру.

Помимо основного агента, в атаке был задействован вспомогательный бэкдор EggStremeWizard, который обеспечивает дополнительный канал связи в случае обнаружения основного. Также активно использовался инструмент проксирования Stowaway, написанный на Go, для маршрутизации трафика внутри сети жертвы.

Для защиты от подобных угроз специалисты рекомендуют применять комплексный подход, включающий проактивное ограничение использования встроенных инструментов Windows (LOLBins), внедрение решений класса EDR/XDR для поведенческого анализа, а также рассмотрение услуг Managed Detection and Response (MDR) при отсутствии полноценной команды SOC.

Атака на филиппинскую военную компанию демонстрирует растущую сложность инструментария APT-групп и их способность долгое время оставаться незамеченными, используя легитимные функции операционных систем и минимизируя своё присутствие на диске.

Domains

• kazinovavada.com
• ronaldmooremd.net
• webpirat.net
• whosecity.org