- EggStremeは、中国の脅威アクターがフィリピンの軍事企業を標的に使用した、ステルス性の高いファイルレスマルウェアフレームワークです
- 6つのモジュール型コンポーネントを備え、リバースシェルアクセス、ペイロード注入、キーロギング、持続的なスパイ活動を可能にします
- 犯人の特定は不明ですが、攻撃の目的はAPAC地域およびそれ以外で知られる中国APTの戦術と一致しています
中国の脅威アクターが、これまでに見られなかったファイルレスマルウェアフレームワークでフィリピンの軍事企業を攻撃したと、研究者が警告しています。
今週初め、サイバーセキュリティ企業BitdefenderはEggStremeについて詳細なレポートを公開しました。「マルチステージのツールセットで、悪意のあるコードを直接メモリに注入し、DLLサイドローディングを利用してペイロードを実行することで、目立たないスパイ活動を実現します。」
このフレームワークは6つの異なるコンポーネントで構成されています:EggStremeFuel(正規バイナリを介してサイドロードされる初期ローダーDLLで、リバースシェルを確立)、EggStremeLoader(暗号化されたペイロードを読み取り、プロセスに注入)、EggStremeReflectiveLoader(最終ペイロードを復号・注入)、EggStremeAgent(58のコマンドを持つメインバックドアインプラント)、EggStremeKeylogger(キーストロークや機密ユーザーデータを取得)、EggStremeWizard(二次バックドアで冗長性を確保)。
DLLのサイドローディング
Bitdefenderはこのフレームワークを既知の中国APTグループと結びつけようとしましたが、信頼できる関連性は見つかりませんでしたと、The Hacker Newsは報じています。「帰属調査にはかなりの労力を費やしましたが、何も見つかりませんでした」とBitdefenderのテクニカルソリューションディレクター、Martin Zugec氏は同誌に語っています。「しかし、目的は中国APTと一致しています。今回の帰属判断は関心・目的に基づいています。」
今回の目的は、サイバースパイ活動、偵察、長期的かつ目立たない持続的侵入であり、これは中国のアクターがフィリピンだけでなく、ベトナム、台湾、その他近隣諸国、さらには世界中で知られている手口です。
Salt Typhoonはおそらく最も記録が多い中国のAPTであり、最近では米国の複数の通信サービスプロバイダー企業で発見されました。
EggStremeマルウェアフレームワークは、サイドロードされたDLLファイルを通じて配布されます。このファイルは信頼された実行ファイルを使って起動されるため、セキュリティ制御を回避できます。しかし、このDLLファイルが最初に被害者のデバイスにどのように配置されたかは不明です。
一般的な手法としては、サプライチェーンの侵害、(事前に取得したアクセスを利用した)手動でのDLL配置、ドライブバイ攻撃や横方向移動などが挙げられます。
