Un groupe avancé de menace persistante (APT) de Chine a été attribué au compromis d’une entreprise militaire basée aux Philippines en utilisant un cadre de logiciel malveillant inférieur auparavant sans papiers appelé Strestme aux œufs.
“Cet outil à plusieurs étages atteint un espionnage persistant et peu profilé en injectant le code malveillant directement dans la mémoire et en tirant parti de la charge de touche de la DLL pour exécuter des charges utiles”, a déclaré le chercheur Bitdefender Bogdan Zavadovschi dans un rapport partagé avec les actualités des hacker.
“Le composant central, Eggstremeagent, est une porte dérobée complète qui permet une reconnaissance de système étendue, un mouvement latéral et un vol de données via un keylogger injecté.”
Le ciblage des Philippines est en quelque sorte un schéma récurrent pour les groupes de piratage chinois parrainés par l’État, en particulier à la lumière des tensions géopolitiques alimentées par des différends territoriaux en mer de Chine méridionale entre la Chine, le Vietnam, les Philippines, Taïwan, la Malaisie et Brunei.
Le fournisseur de cybersécurité roumain, qui a d’abord détecté des signes d’activité malveillante au début de 2024, a décrit Eggstreme comme un ensemble étroitement intégré de composants malveillants qui sont conçus pour établir une “position résiliente” sur les machines infectées.
Le point de départ de l’opération en plusieurs étapes est une charge utile appelée EggStremeFuel (“MSCorsvc.dll”) qui mène le profilage du système et déploie EggstremeLoader pour mettre en place la persistance et exécute ensuite EggstremerefleativeLoder, ce qui, à son tour, déclenche Eggstremegent.
Les fonctions d’Eggtremefuel sont réalisées en ouvrant un canal de communication actif avec une commande et un contrôle (C2), en le permettant de –
- Obtenir des informations sur le lecteur
- Démarrer CMD.exe et établir une communication via des tuyaux
- Fermer gracieusement toutes les connexions et l’arrêt
- Lisez un fichier sur serveur et enregistrez-le sur disque
- Lisez un fichier local à partir d’un chemin donné et transmettez son contenu
- Envoyez l’adresse IP externe en faisant une demande à MyExternalip[.]com / brut
- Vider la configuration en mémoire en disque
Appelant Eggstremeagent le “système nerveux central” du cadre, la porte dérobée fonctionne en surveillant les nouvelles sessions utilisateur et injecte un composant Keylogger surnommé Eggstremekeylogger pour chaque session pour récolter des touches et d’autres données sensibles. Il communique avec un serveur C2 à l’aide du protocole Google Remote Procedure Call (GRPC).
Il prend en charge 58 commandes impressionnantes qui permettent un large éventail de capacités pour faciliter la découverte locale et de réseau, l’énumération du système, l’exécution arbitraire de la code de coquille, l’escalade de privilège, le mouvement latéral, l’exfiltration de données et l’injection de charge utile, y compris un implant auxiliaire CodenDamed Eggstremewizard (“xwizards.dll”).
“Les attaquants utilisent cela pour lancer un binaire légitime qui se mette à latéral la DLL malveillante, une technique qu’ils abusent constamment tout au long de la chaîne d’attaque”, a noté Zavadovschi.
“Cette porte dérobée secondaire offre des capacités d’accès et de téléchargement / téléchargement de fichiers inverses. Sa conception intègre également une liste de plusieurs serveurs C2, améliorant sa résilience et garantissant que la communication avec l’attaquant peut être maintenue même si un serveur C2 est pris hors ligne.”
L’activité est également caractérisée par l’utilisation de l’utilitaire proxy interrompu pour établir un pied de travail interne. Compliquer davantage la détection est la nature sans fil du cadre, provoquant le chargement du code malveillant et exécuté directement en mémoire sans laisser de traces sur le disque.
“Ceci, associé à l’utilisation intensive du chargement latéral DLL et du flux d’exécution sophistiqué en plusieurs étapes, permet au cadre de fonctionner avec un profil bas, ce qui en fait une menace importante et persistante”, a déclaré Bitdefender.
“La famille des logiciels malveillants Eggstreme est une menace très sophistiquée et multi-composants conçue pour atteindre un accès persistant, un mouvement latéral et une exfiltration de données. L’acteur de menace démontre une compréhension avancée des techniques défensives modernes en utilisant une variété de tactiques pour échapper à la détection.”
