Se ha atribuido a un grupo de amenazas persistentes avanzadas (APT) de China el compromiso de una empresa militar con sede en Filipinas que utilizaba un marco de malware sin archivos previamente indocumentado llamado Huevos en treme .
«Este conjunto de herramientas de varias etapas logra un espionaje persistente y discreto al inyectar código malicioso directamente en la memoria y aprovechar la carga lateral de las DLL para ejecutar cargas útiles», dijo Bogdan Zavadovschi, investigador de Bitdefender dijo en un informe compartido con The Hacker News.
«El componente principal, EggStremeAgent, es una puerta trasera con todas las funciones que permite un amplio reconocimiento del sistema, el movimiento lateral y el robo de datos mediante un registrador de teclas inyectado».
El objetivo de Filipinas es algo de un patrón recurrente para los grupos de hackers patrocinados por el estado chino, particularmente a la luz de tensiones geopolíticas alimentada por las disputas territoriales en el Mar de China Meridional entre China, Vietnam, Filipinas, Taiwán, Malasia y Brunei.
El proveedor rumano de ciberseguridad, que detectó por primera vez señales de actividad maliciosa a principios de 2024, describió EggStreme como un conjunto de componentes maliciosos estrechamente integrado que está diseñado para establecer un «punto de apoyo resiliente» en las máquinas infectadas.
El punto de partida de la operación de varias etapas es una carga útil denominada EggStremeFuel (» mscorsvc.dll «) que elabora perfiles del sistema e implementa EggStremeLoader para configurar la persistencia y, a continuación, ejecuta EggStremeReflectiveLoader, que, a su vez, activa EggStremeAgent.
Las funciones de EggStremeFuel se realizan mediante la apertura de un canal de comunicación activo con un comando y control (C2), lo que le permite -
- Obtenga información sobre la conducción
- Inicie cmd.exe y establezca la comunicación a través de tuberías
- Cierre correctamente todas las conexiones y apague
- Leer un archivo del servidor y guardarlo en el disco
- Leer un archivo local de una ruta determinada y transmitir su contenido
- Envíe la dirección IP externa haciendo una solicitud a myexternalip [.] com/raw
- Volcar la configuración en memoria al disco
Al llamar a EggStremeAgent el «sistema nervioso central» del marco, la puerta trasera funciona monitoreando las sesiones de los nuevos usuarios e inyecta un componente de registro de teclas denominado EggStremeKeylogger para cada sesión para recopilar las pulsaciones de teclas y otros datos confidenciales. Se comunica con un servidor C2 mediante la llamada a procedimiento remoto de Google ( gRPC ) protocolo.
Admite la impresionante cantidad de 58 comandos que permiten una amplia gama de funciones para facilitar el descubrimiento local y de red, la enumeración de sistemas, la ejecución arbitraria de códigos de shell, el escalamiento de privilegios, el movimiento lateral, la exfiltración de datos y la inyección de cargas útiles, incluido un implante auxiliar con el nombre en código EggStremeWizard (» xwizards.dll «).
«Los atacantes usan esto para lanzar un binario legítimo que descarga la DLL maliciosa, una técnica de la que abusan constantemente a lo largo de la cadena de ataque», señala Zavadovschi.
«Esta puerta trasera secundaria proporciona acceso inverso a la consola y capacidades de carga/descarga de archivos. Su diseño también incorpora una lista de varios servidores C2, lo que mejora su resiliencia y garantiza que la comunicación con el atacante pueda mantenerse incluso si un servidor C2 se desconecta».
La actividad también se caracteriza por el uso del polizón utilidad de proxy para establecer un punto de apoyo en la red interna. Lo que complica aún más la detección es el hecho de que la estructura no contiene archivos, lo que hace que el código malintencionado se cargue y ejecute directamente en la memoria sin dejar rastros en el disco.
«Esto, junto con el uso intensivo de la carga lateral de DLL y el sofisticado flujo de ejecución en varias etapas, permite que el marco funcione con un perfil bajo, lo que lo convierte en una amenaza importante y persistente», afirma Bitdefender.
«La familia de malware EggStreme es una amenaza altamente sofisticada y multicomponente diseñada para lograr el acceso persistente, el movimiento lateral y la exfiltración de datos. El autor de la amenaza demuestra un conocimiento avanzado de las técnicas defensivas modernas al emplear una variedad de tácticas para evitar ser detectado».