2025年9月10日Ravie Lakshmananサイバーセキュリティ / マルウェア
中国の高度な持続的脅威(APT)グループが、これまで文書化されていなかったファイルレスマルウェアフレームワークEggStremeを使用し、フィリピン拠点の軍事関連企業を侵害したとされています。
「この多段階のツールセットは、悪意のあるコードをメモリに直接注入し、DLLサイドローディングを利用してペイロードを実行することで、持続的かつ目立たないスパイ活動を実現します」とBitdefenderの研究者Bogdan Zavadovschiは、The Hacker Newsと共有したレポートで述べています。
「コアコンポーネントであるEggStremeAgentは、システムの広範な偵察、横方向移動、そしてキーロガーを注入することでデータ窃取を可能にする、フル機能のバックドアです。」
フィリピンを標的とすることは、中国、ベトナム、フィリピン、台湾、マレーシア、ブルネイ間の南シナ海における領有権争いによる地政学的緊張を背景に、中国の国家支援型ハッカーグループによる繰り返されるパターンとなっています。
2024年初頭に悪意のある活動の兆候を初めて検知したルーマニアのサイバーセキュリティベンダーは、EggStremeを感染マシン上に「堅牢な足場」を築くよう設計された、密接に統合された悪意のあるコンポーネント群と説明しています。
この多段階オペレーションの起点はEggStremeFuel(「mscorsvc.dll」)と呼ばれるペイロードで、システムプロファイリングを行い、永続化のためにEggStremeLoaderを展開し、その後EggStremeReflectiveLoaderを実行して最終的にEggStremeAgentを起動します。
EggStremeFuelの機能は、コマンド&コントロール(C2)とのアクティブな通信チャネルを開くことで実現され、以下のことが可能です:
- ドライブ情報の取得
- cmd.exeを起動し、パイプを介して通信を確立
- すべての接続を正常に閉じてシャットダウン
- サーバーからファイルを読み取り、ディスクに保存
- 指定されたパスからローカルファイルを読み取り、その内容を送信
- myexternalip[.]com/rawへのリクエストで外部IPアドレスを送信
- メモリ上の設定情報をディスクにダンプ
EggStremeAgentをフレームワークの「中枢神経系」と呼び、このバックドアは新しいユーザーセッションを監視し、各セッションごとにEggStremeKeyloggerと呼ばれるキーロガーコンポーネントを注入してキーストロークやその他の機密データを収集します。Google Remote Procedure Call(gRPC)プロトコルを使ってC2サーバーと通信します。
これには、ローカルおよびネットワークの探索、システム列挙、任意のシェルコード実行、権限昇格、横方向移動、データの持ち出し、ペイロード注入など、幅広い機能を実現する58種類のコマンドが用意されており、補助インプラントEggStremeWizard(「xwizards.dll」)も含まれています。
「攻撃者はこれを利用して正規のバイナリを起動し、悪意のあるDLLをサイドロードします。この手法は攻撃チェーン全体で一貫して悪用されています」とZavadovschiは指摘しています。
「このセカンダリバックドアはリバースシェルアクセスやファイルのアップロード/ダウンロード機能を提供します。また、複数のC2サーバーリストを組み込むことで耐障害性を高め、1つのC2サーバーがオフラインになっても攻撃者との通信を維持できるようになっています。」
この活動は、内部ネットワークでの足場確立のためにStowawayプロキシユーティリティが使われていることも特徴です。さらに検知を困難にしているのが、フレームワークのファイルレス性であり、悪意のあるコードがディスクに痕跡を残さずメモリ上で直接ロード・実行されます。
「これに加え、DLLサイドローディングの多用や高度で多段階の実行フローにより、このフレームワークは目立たずに活動でき、重大かつ持続的な脅威となっています」とBitdefenderは述べています。
「EggStremeマルウェアファミリーは、持続的なアクセス、横方向移動、データ持ち出しを実現するために設計された高度かつ多要素の脅威です。脅威アクターは、検知を回避するためにさまざまな戦術を駆使し、現代の防御技術に対する高度な理解を示しています。」
翻訳元: https://thehackernews.com/2025/09/chinese-apt-deploys-eggstreme-fileless.html