Китайская хакерская группа атаковала филиппинскую военную компанию с помощью нового фреймворка EggStreme

Ядро атаки составляет фреймворк EggStreme - тесно интегрированный набор вредоносных компонентов, работающих по многоэтапной схеме для создания устойчивого присутствия в системе. В отличие от традиционных угроз, этот фреймворк практически не оставляет следов на диске, так как его расшифрованный код выполняется исключительно в оперативной памяти. Атака начинается с компонента EggStremeFuel, который развертывает EggStremeLoader для настройки постоянной службы. Этот загрузчик затем запускает EggStremeReflectiveLoader, который, в свою очередь, активирует основной бэкдор EggStremeAgent.

EggStremeAgent является центральным элементом всего фреймворка. Он работает, отслеживая новые пользовательские сеансы, и для каждого обнаруженного сеанса внедряет EggStremeKeylogger в активный процесс explorer.exe для скрытого сбора нажатий клавиш и другой конфиденциальной информации. Этот агент представляет собой полнофункциональный бэкдор с 58 командами, позволяющими злоумышленникам проводить масштабное обнаружение локальных и сетевых ресурсов, перечислять системные ресурсы, выполнять произвольный шелл-код, перемещаться внутри сети и внедрять другие полезные нагрузки, в частности бэкдор EggStremeWizard. Атакующие постоянно используют технику подмены DLL (DLL sideloading), запуская легитимный бинарный файл, который загружает вредоносную DLL.

Расследование началось в начале 2024 года с выполнения пакетного скрипта входа в систему с общего SMB-ресурса. Скрипт развертывал два файла в каталог %APPDATA%\Microsoft\Windows\Windows Mail\: легитимный бинарный файл WinMail.exe и вредоносную DLL mscorsvc.dll. Вредоносная mscorsvc.dll, известная как EggStremeFuel, действует как загрузчик и отвечает за настройку обратного подключения к серверу управления. Для обеспечения постоянного присутствия злоумышленники злоупотребили несколькими отключенными службами Windows, изменяя связанные с ними registry-ключи или напрямую заменяя служебные бинарные файлы.

Бинарный файл EggStremeLoader, выполняемый этими службами, читает файл %WINDIR%\en-us\ielowutil.exe.mui, содержащий зашифрованные полезные нагрузки EggStremeReflectiveLoader и EggStremeAgent. После расшифровки отражающий загрузчик внедряется в доверенный процесс winlogon.exe. Затем он использует токен своего процесса-хоста для создания нового приостановленного процесса (MsMpEng.exe или explorer.exe) с помощью CreateProcessWithToken(), куда и внедряет окончательную полезную нагрузку, EggStremeAgent.

Этот финальный имплант представляет собой сложный бэкдор, который взаимодействует с сервером управления по протоколу gRPC с использованием взаимной аутентификации TLS (mTLS). Его 58 команд охватывают широкий спектр возможностей: от сбора отпечатков системы и перечисления ресурсов до эскалации привилегий, выполнения команд, эксфильтрации данных, манипуляции с файлами и внедрения в процессы. На нескольких машинах был замечен вторичный, более легкий бэкдор EggStremeWizard, который обеспечивает обратное подключение и возможности загрузки/выгрузки файлов.

Для обеспечения скрытности фреймворк активно использует работу исключительно в памяти, подмену DLL и сложную многоэтапную цепочку выполнения. Инфраструктура злоумышленников использует единый центр сертификации, что позволило исследователям выявить несколько серверов управления, включая whosecity[.]org, webpirat[.]net и другие. Обнаруженный инструментарий указывает на высокоорганизованную группу, чьи методы и цели соответствуют китайским APT-кампаниям, нацеленным на стратегические объекты в Азиатско-Тихоокеанском регионе. Атака подчеркивает растущую сложность угроз и необходимость повышенных мер защиты для организаций оборонного и стратегического сектора.

IPv4

• 103.103.0.225
• 103.131.95.114
• 103.169.90.164
• 103.78.242.128

Domains

• fetraa.com
• fionamcleod.net
• powerontheroad.org
• safiasol.com
• sealtribute.org
• sinhluc.net
• theuklg.com
• traveldog.org

URLs

• https://businessinsights.bitdefender.com/eggstreme-fileless-malware-cyberattack-apac
• https://intellizone.bitdefender.work/en/threat-search/threats/BDtqkhbtsw

MD5

• 03ab706b45b1190c1f14059a2b443b13
• 0f37cd2f6b40649b82ba4f1921cd504b
• 0f45e73eccdb485e662c49fbd4821324
• 16c95842bedc3c4d1df053ea9ae188d7
• 2a2900a9792f8020a9deda0d676fe989
• 3ca1b4542c44834839149e080e5c0498
• 537299a4e6c0f286c8a33fb444846a85
• 5e3b763a9ba153edade783e8a0303177
• 63a4fbb304ce66ba2b8e87fae96ab35a
• 7392c09e0ac355e15b2d1236e62b6a57
• 792005181a433afc9f7a8c230dcf4dfa
• 7de52573ebe4073fa97fc72d9b6a9b7a
• 7ec144401e983edbb5196699773c3660
• 8232e0c75f4ddc01cf846646f484ab43
• 8843ff02ebc51afb3c3873d97c0b9846
• 95472a444f9b1120b7f31945202010c0
• 97bef0d9a2ad4249db2214fd43b5353a
• a39d496e84f74c2ef5437389358f1521
• a43b957ef22072fc0b213989ab15560d
• a5fcd07b4cfba212af7e76fe88212ad7
• a69908de2c1903afb41f0c7fb14162fd
• aec8a3511907d8a27aa8082869ae80c4
• b7926de548c9c139dada2cff62cf3711
• b9bd98484c186f47999bf328bb34794c
• bae6b54f98bb23ddbb69487f8abfcd8c
• bf89b83267a9debc7b61ccb04cd329a5
• c180e98725a466c3208e2c8874abc1ed
• c1fdabb61c941053c2272c8c147670d1
• df29898c0742f6b0175e4e34b5f0755d
• df2e68fe6be163d40a21b4199033b434
• e3d8fbf45fac3793aac87568a1919cf7
• e59eaab989c5a8433852e77fb9dd7986
• eb4948c42f418325c1b8b2b79af7ef08