Un conjunto de amenaza persistente avanzadilla (APT) de China se ha atribuido al compromiso de una compañía marcial con sede en Filipinas utilizando un situación de malware filcado previamente indocumentado llamado Estrema de huevo.
“Este conjunto de herramientas de varias etapas logra un espionaje persistente y de bajo perfil al inyectar un código desconfiado directamente en la memoria y explotar la interpretación fronterizo de DLL para ejecutar cargas avíos”, dijo el investigador de Bitdefender, Bogdan Zavadovschi, en un noticia compartido con las noticiario del hacker.
“El componente central, Eggstremeagent, es una puerta trasera con todas las funciones que permite un amplio gratitud del sistema, movimiento fronterizo y robo de datos a través de un keylogger inyectado”.
La orientación de Filipinas es un patrón recurrente para los grupos de piratería patrocinados por el estado chino, particularmente a la luz de las tensiones geopolíticas alimentadas por disputas territoriales en el Mar del Sur de China entre China, Vietnam, Filipinas, Taiwán, Malasia y Brunei.
El proveedor de ciberseguridad rumano, que detectó signos de actividad maliciosa por primera vez a principios de 2024, describió a Eggstreme como un conjunto de componentes maliciosos admisiblemente integrados que está diseñado para establecer un “punto de apoyo resistente” en las máquinas infectadas.
El punto de partida de la operación de varias etapas es una carga útil indicación Eggstremefuel (“MSCorsvc.dll”) que realiza el perfil del sistema y implementa Eggstremeloader para configurar la persistencia y luego ejecuta EggstremereFlectiveLoader, que, a su vez, desencadena Eggstremeage.
Las funciones de Eggstremefuel se realizan abriendo un canal de comunicación activo con un comando y control (C2), lo que lo permite-
- Obtener información de manejo
- Iniciar cmd.exe y establecer comunicación a través de tuberías
- Falleba con donosura todas las conexiones y agotado
- Lea un archivo del servidor y guárdelo en disco
- Lea un archivo almacén de una ruta determinada y transmita su contenido
- Envíe la dirección IP externa haciendo una solicitud a myExternalip (.) Com/raw
- Volcar la configuración en la memoria al disco
Llamando a Eggstremeagent el “sistema nervioso central” del situación, la puerta trasera funciona al monitorear nuevas sesiones de adjudicatario e inyecta un componente de Keylogger denominado Eggstremekeylogger para cada sesión para cosechar pulsaciones de teclas y otros datos confidenciales. Se comunica con un servidor C2 utilizando el protocolo de indicación de procedimiento remoto de Google (GRPC).
Admite 58 comandos impresionantes que permiten una amplia variedad de capacidades para suministrar el descubrimiento almacén y de red, la enumeración del sistema, la ejecución arbitraria de shellcode, la ascensión de privilegios, el movimiento fronterizo, la exfiltración de datos e inyección de la carga útil, incluido un implante auxiliar en código Eggstremewizard (“Xwizards.dll”).).).).
“Los atacantes usan esto para divulgar un binario oficial que SideLoads the Malicious DLL, una técnica que abusan constantemente a lo amplio de la cautiverio de ataque”, señaló Zavadovschi.
“Esta puerta trasera secundaria proporciona capacidades de acercamiento de shell inversa y carga de archivos/descarga. Su diseño además incorpora una nómina de múltiples servidores C2, mejorando su resistor y asegurando que la comunicación con el atacante pueda mantenerse incluso si se desconecta un servidor C2”.
La actividad además se caracteriza por el uso de la utilidad proxy de Stowaway para establecer una posición de red interna. Para complicar aún más la detección, es la naturaleza sin archivo del situación, lo que hace que el código desconfiado se cargue y ejecute directamente en la memoria sin dejar ningún indicio en el disco.
“Esto, pegado con el uso intensivo de la carga fronterizo de DLL y el sofisticado flujo de ejecución de varias etapas, permite que el situación funcione con un perfil bajo, por lo que es una amenaza significativa y persistente”, dijo Bitdefender.
“La grupo de malware Eggstreme es una amenaza enormemente sofisticada y múltiple diseñada para conquistar un acercamiento persistente, movimiento fronterizo y exfiltración de datos. El actor de amenaza demuestra una comprensión avanzadilla de las técnicas defensivas modernas mediante el empleo de una variedad de tácticas para escamotear la detección”.
