В начале 2024 года китайская хакерская группировка, относящаяся к классу Advanced Persistent Threat (APT), успешно взломала системы филиппинской военной компании. Целью операции являлся долгосрочный и скрытный шпионаж, обусловленный геополитической напряженностью в Южно-Китайском море. Для атаки был использован ранее неизвестный бесфайловый вредоносный фреймворк под названием EggStreme.
Об инциденте сообщила румынская компания по кибербезопасности Bitdefender. Ведущий исследователь Богдан Завадовски предоставил отчет изданию The Hacker News, в котором подробно описал структуру и возможности нового кибероружия.
EggStreme представляет собой интегрированный набор вредоносных компонентов, предназначенных для создания устойчивого плацдарма в скомпрометированной системе. Его ключевыми характеристиками являются бесфайловая природа, при которой код выполняется непосредственно в оперативной памяти, не оставляя следов на диске, а также многоступенчатая архитектура атаки, обеспечивающая максимальную скрытность.
Атака начинается с полезной нагрузки EggStremeFuel, распространяемой под именем файла
После первоначального заражения в дело вступают следующие компоненты. EggStremeLoader отвечает за закрепление в системе для обеспечения постоянного доступа. Затем EggStremeReflectiveLoader активирует основной бэкдор, являющийся ядром всего фреймворка.
Центральным компонентом является EggStremeAgent, который исследователи назвали «центральной нервной системой» фреймворка. Этот полнофункциональный бэкдор поддерживает 58 команд, позволяя операторам проводить глубокую разведку системы, осуществлять боковое перемещение по сети и похищать данные. Он отслеживает новые сеансы пользователей, сканирует локальную и сетевую среду, а также способен выполнять произвольный шелл-код и внедрять другие полезные нагрузки. Для связи с C2-сервером EggStremeAgent использует протокол Google Remote Procedure Call (gRPC).
Для расширения своих возможностей фреймворк использует дополнительные модули. EggStremeKeylogger — это кейлоггер, который EggStremeAgent внедряет в каждый новый сеанс пользователя для перехвата нажатий клавиш и сбора конфиденциальной информации.
В качестве вспомогательного импланта применяется EggStremeWizard, известный под именем файла
В ходе атаки злоумышленники активно применяли несколько ключевых тактик. Основной из них стала DLL Sideloading (загрузка вредоносной DLL через легитимное приложение). Все компоненты внедрялись напрямую в память запущенных процессов, что соответствует принципам бесфайлового выполнения и значительно усложняет обнаружение. Для перемещения внутри скомпрометированной сети использовалась прокси-утилита Stowaway.
Атака на филиппинскую военную структуру не является случайной и вписывается в общую картину действий китайских государственных хакерских групп. Их активность напрямую связана с территориальными спорами в акватории Южно-Китайского моря.
В данный геополитический конфликт, помимо Китая и Филиппин, вовлечены также Вьетнам, Тайвань, Малайзия и Бруней, что делает военные и правительственные организации этих стран приоритетными целями для кибершпионажа.
Изображение носит иллюстративный характер
Об инциденте сообщила румынская компания по кибербезопасности Bitdefender. Ведущий исследователь Богдан Завадовски предоставил отчет изданию The Hacker News, в котором подробно описал структуру и возможности нового кибероружия.
EggStreme представляет собой интегрированный набор вредоносных компонентов, предназначенных для создания устойчивого плацдарма в скомпрометированной системе. Его ключевыми характеристиками являются бесфайловая природа, при которой код выполняется непосредственно в оперативной памяти, не оставляя следов на диске, а также многоступенчатая архитектура атаки, обеспечивающая максимальную скрытность.
Атака начинается с полезной нагрузки EggStremeFuel, распространяемой под именем файла
mscorsvc.dll. Этот компонент проводит профилирование системы, развертывает следующий модуль EggStremeLoader и устанавливает канал связи с командно-контрольным сервером (C2). Его функционал включает сбор информации о дисках, запуск командной строки cmd.exe для взаимодействия через каналы, а также отправку внешнего IP-адреса жертвы после запроса к myexternalip[.]com/raw. После первоначального заражения в дело вступают следующие компоненты. EggStremeLoader отвечает за закрепление в системе для обеспечения постоянного доступа. Затем EggStremeReflectiveLoader активирует основной бэкдор, являющийся ядром всего фреймворка.
Центральным компонентом является EggStremeAgent, который исследователи назвали «центральной нервной системой» фреймворка. Этот полнофункциональный бэкдор поддерживает 58 команд, позволяя операторам проводить глубокую разведку системы, осуществлять боковое перемещение по сети и похищать данные. Он отслеживает новые сеансы пользователей, сканирует локальную и сетевую среду, а также способен выполнять произвольный шелл-код и внедрять другие полезные нагрузки. Для связи с C2-сервером EggStremeAgent использует протокол Google Remote Procedure Call (gRPC).
Для расширения своих возможностей фреймворк использует дополнительные модули. EggStremeKeylogger — это кейлоггер, который EggStremeAgent внедряет в каждый новый сеанс пользователя для перехвата нажатий клавиш и сбора конфиденциальной информации.
В качестве вспомогательного импланта применяется EggStremeWizard, известный под именем файла
xwizards.dll. Этот вторичный бэкдор предоставляет операторам обратный шелл, а также функции загрузки и выгрузки файлов. Для повышения отказоустойчивости в него встроен список из нескольких C2-серверов, гарантирующий сохранение связи даже при блокировке одного из них. В ходе атаки злоумышленники активно применяли несколько ключевых тактик. Основной из них стала DLL Sideloading (загрузка вредоносной DLL через легитимное приложение). Все компоненты внедрялись напрямую в память запущенных процессов, что соответствует принципам бесфайлового выполнения и значительно усложняет обнаружение. Для перемещения внутри скомпрометированной сети использовалась прокси-утилита Stowaway.
Атака на филиппинскую военную структуру не является случайной и вписывается в общую картину действий китайских государственных хакерских групп. Их активность напрямую связана с территориальными спорами в акватории Южно-Китайского моря.
В данный геополитический конфликт, помимо Китая и Филиппин, вовлечены также Вьетнам, Тайвань, Малайзия и Бруней, что делает военные и правительственные организации этих стран приоритетными целями для кибершпионажа.
