El grupo avanzado de amenaza persistente (APT) de China se atribuye a un compromiso de una compañía militar con sede en Filipinas que utiliza un marco de malware previamente indocumentado sin Fies llamado Eggstreme.
«Este conjunto de herramientas de varias etapas ofrece un espionaje sostenido y modesto al inyectar un código malicioso directamente en la memoria y aprovechar DLL Sidelogas para ejecutar cargas útiles», dijo el investigador de bitdefender Bogdan Zavadovschi en un informe compartido con Hacker News.
«El componente central, el grado de Stremy de huevo, es una puerta trasera con todas las funciones que permite un amplio reconocimiento del sistema, movimiento lateral y robo de datos a través de keyloggers inyectados».
La orientación de Filipinas es como un patrón recurrente de grupos de piratería patrocinados por el estado chinos a la luz de las tensiones geopolíticas impulsadas por las disputas territoriales del Mar del Sur de China entre China, Vietnam, Filipinas, Taiwán, Malasia y Brunei.
Los proveedores de ciberseguridad rumano, que detectaron signos de actividad maliciosa a principios de 2024, describieron la corriente de huevo como un conjunto estrechamente integrado de componentes maliciosos diseñados para establecer un «andamio resistente» para máquinas infectadas.
El punto de partida para las operaciones de varias etapas es una carga útil llamada Eggstremefuel («MSCorsvc.dll»), que realiza el perfil del sistema, despliega el stremeloader de huevos para establecer la sostenibilidad, ejecuta el cargador del estrema de los huevos y despliega el cargador de estreme de huevos que ejecuta el estreme de huevos senste.
La funcionalidad de Eggstremefuel se logra abriendo canales de comunicación activos en el comando y el control (C2) y lo hace posible –
Inicie cmd.exe para recuperar la información de la unidad, establecer la comunicación a través de la tubería, cerrar con gracia todas las conexiones, leer archivos del servidor, guárdelos en disco, leer archivos locales desde una ruta específica y enviar contenido.
Llamar a Eggstremeagent el «CNS» del marco «CNS» monitorea las nuevas sesiones de usuario e inyecta cada sesión un componente Keylogger llamado Eggstremekeylogger para cosechar pulsaciones de teclas y otros datos confidenciales. Se comunica con el servidor C2 utilizando el protocolo de llamada de procedimiento remoto de Google (GRPC).
Admite impresionantes 58 comandos, incluidos los implantes auxiliares Kounums Bat Egg Stremigers («Xwizards.dll») al habilitar una amplia gama de funciones y facilitar el descubrimiento local y de red, la enumeración del sistema, la ejecución arbitraria de shellcode, la escalada de privilegios, el movimiento lateral, la eliminación de datos y la inyección de carga de pago.
«Los atacantes usan esto para lanzar binarios legales que los dlls maliciosos latidos, que es una técnica que se explota constantemente en la cadena de ataque», señaló Zabadowski.
«Esta puerta trasera secundaria proporciona capacidades de acceso de shell inversa y carga de archivo/descarga. Su diseño también incorpora una lista de múltiples servidores C2 para aumentar la resiliencia y mantener la comunicación con el atacante incluso cuando un solo servidor C2 se filma fuera de línea».
Esta actividad también se caracteriza mediante el uso de una utilidad proxy de la tienda para establecer un punto de apoyo para la red interna. La detección más compleja es la naturaleza inteligente del marco, cargando y ejecutando código malicioso directamente en la memoria sin dejar trazas en el disco.
«Esto, junto con el uso intensivo de las celos laterales DLL y los sofisticados flujos de ejecución de varias etapas, hace que el marco funcione discreto y una amenaza crítica y duradera», dijo Bitdefender.
«La familia de malware Eggstreme es una amenaza altamente refinada y multicomponente diseñada para lograr un acceso sostenido, movimiento lateral y eliminación de datos. Los actores de amenaza demuestran una comprensión sofisticada de las técnicas de defensa modernas al emplear una variedad de tácticas para evitar la detección».
Source link
