Un grupo de amenaza persistente avanzada (APT) de China se ha atribuido al compromiso de una compañía militar con sede en Filipinas utilizando un marco de malware filcado previamente indocumentado llamado Estrema de huevo.
«Este conjunto de herramientas de varias etapas logra un espionaje persistente y de bajo perfil al inyectar un código malicioso directamente en la memoria y aprovechar DLL Sideloading para ejecutar cargas útiles», el investigador de Bitdefender Bogdan Zavadovschi dicho En un informe compartido con The Hacker News.
«El componente central, Eggstremeagent, es una puerta trasera con todas las funciones que permite un amplio reconocimiento del sistema, movimiento lateral y robo de datos a través de un keylogger inyectado».
La orientación de Filipinas es algo de patrón recurrente para grupos de piratería patrocinados por el estado chino, particularmente a la luz de tensiones geopolíticas Impulsado por disputas territoriales en el Mar del Sur de China entre China, Vietnam, Filipinas, Taiwán, Malasia y Brunei.
El proveedor de ciberseguridad rumano, que detectó signos de actividad maliciosa por primera vez a principios de 2024, describió a Eggstreme como un conjunto de componentes maliciosos bien integrados que está diseñado para establecer un «punto de apoyo resistente» en las máquinas infectadas.
El punto de partida de la operación de varias etapas es una carga útil llamada Eggstremefuel («MSCorsvc.dll») que realiza el perfil del sistema y implementa Eggstremeloader para configurar la persistencia y luego ejecuta EggstremereFlectiveLoader, que, a su vez, desencadena Eggstremeage.
Las funciones de Eggstremefuel se realizan abriendo un canal de comunicación activo con un comando y control (C2), lo que lo permite-
- Obtener información de manejo
- Iniciar cmd.exe y establecer comunicación a través de tuberías
- Cierre con gracia todas las conexiones y apagado
- Lea un archivo del servidor y guárdelo en disco
- Lea un archivo local de una ruta determinada y transmita su contenido
- Envíe la dirección IP externa haciendo una solicitud a MyExternalip[.]com/raw
- Volcar la configuración en la memoria al disco
Llamando a Eggstremeagent el «sistema nervioso central» del marco, la puerta trasera funciona al monitorear nuevas sesiones de usuario e inyecta un componente de Keylogger denominado Eggstremekeylogger para cada sesión para cosechar pulsaciones de teclas y otros datos confidenciales. Se comunica con un servidor C2 utilizando la llamada de procedimiento remoto de Google (GRPC) Protocolo.
Admite 58 comandos impresionantes que permiten una amplia gama de capacidades para facilitar el descubrimiento local y de red, la enumeración del sistema, la ejecución arbitraria de shellcode, la escalada de privilegios, el movimiento lateral, la exfiltración de datos e inyección de la carga útil, incluido un implante auxiliar en código Eggstremewizard («Xwizards.dll»).).).).
«Los atacantes usan esto para lanzar un binario legítimo que SideLoads the Malicious DLL, una técnica que abusan constantemente a lo largo de la cadena de ataque», señaló Zavadovschi.
«Esta puerta trasera secundaria proporciona capacidades de acceso de shell inversa y carga de archivos/descarga. Su diseño también incorpora una lista de múltiples servidores C2, mejorando su resistencia y asegurando que la comunicación con el atacante pueda mantenerse incluso si se desconecta un servidor C2».
La actividad también se caracteriza por el uso de la Polizón Utilidad proxy para establecer un punto de apoyo de la red interna. Para complicar aún más la detección, es la naturaleza sin archivo del marco, lo que hace que el código malicioso se cargue y ejecute directamente en la memoria sin dejar ningún rastro en el disco.
«Esto, junto con el uso intensivo de la carga lateral de DLL y el sofisticado flujo de ejecución de varias etapas, permite que el marco funcione con un perfil bajo, por lo que es una amenaza significativa y persistente», dijo Bitdefender.
«La familia de malware Eggstreme es una amenaza altamente sofisticada y múltiple diseñada para lograr un acceso persistente, movimiento lateral y exfiltración de datos. El actor de amenaza demuestra una comprensión avanzada de las técnicas defensivas modernas mediante el empleo de una variedad de tácticas para evadir la detección».
Fuente