Trong một chiến dịch gián điệp mạng tinh vi, một nhóm APT có liên kết với Trung Quốc đã xâm phạm một công ty quân sự của Philippines, sử dụng một khung mã độc fileless mới có tên EggStreme. Công cụ đa giai đoạn này được thiết kế để thực hiện hoạt động gián điệp dai dẳng, khó phát hiện, bằng cách tiêm mã độc trực tiếp vào bộ nhớ và tận dụng kỹ thuật DLL sideloading để thực thi các payload.

Thành phần cốt lõi, EggStremeAgent, là một backdoor đầy đủ tính năng, cho phép trinh sát hệ thống rộng rãi, di chuyển ngang và đánh cắp dữ liệu thông qua một keylogger được tiêm vào.

Khung mã độc fileless EggStreme và Chiến dịch Gián điệp mạng

Vào đầu năm 2024, một nhà thầu quốc phòng của Philippines đã trở thành mục tiêu của một chiến dịch gián điệp mạng phức tạp. Cuộc điều tra đã phát hiện một khung mã độc chưa từng thấy trước đây, được đặt tên là EggStreme, với thiết kế fileless tiên tiến và các kỹ thuật DLL sideloading cho phép những kẻ tấn công né tránh việc bị phát hiện và duy trì quyền truy cập bí mật, dài hạn. Các chỉ số cho thấy hoạt động này có liên quan đến các tác nhân đe dọa được nhà nước Trung Quốc bảo trợ, với mục đích tìm kiếm thông tin tình báo chiến lược trong khu vực Biển Đông. Để biết thêm chi tiết, bạn có thể tham khảo báo cáo của Bitdefender tại đây.

Mục tiêu và Bối cảnh Chiến lược

Chiến dịch này nhắm vào các tổ chức quốc phòng tại Philippines, phản ánh mục tiêu thu thập thông tin tình báo chiến lược liên quan đến an ninh khu vực Biển Đông. Sự tinh vi của khung mã độc fileless này cho thấy ý định duy trì quyền truy cập lâu dài và ẩn danh.

Tổng quan về Mã độc EggStreme

Mã độc EggStreme là một bộ công cụ đa giai đoạn, được thiết kế để thực hiện gián điệp mạng với cấu hình thấp. Khung này sử dụng một chuỗi tải và tiêm mã được dàn dựng cẩn thận, cho phép các thành phần độc hại hoạt động hoàn toàn trong bộ nhớ, vượt qua các giải pháp bảo mật truyền thống dựa trên file.

Phân tích Kỹ thuật Sâu về Mã độc EggStreme

Kỹ thuật Khởi tạo và DLL Sideloading (EggStremeFuel)

Quá trình lây nhiễm bắt đầu khi kẻ tấn công thực thi một script logon trên một chia sẻ SMB. Script này sẽ triển khai một binary Mail hợp pháp (WinMail.exe) cùng với một DLL độc hại (mscorsvc.dll) vào thư mục %APPDATA%MicrosoftWindowsWindows Mail.

Khi WinMail.exe khởi chạy, nó sẽ sideload mscorsvc.dll – còn được gọi là EggStremeFuel – kích hoạt loader giai đoạn đầu tiên. EggStremeFuel thực hiện việc lấy dấu vân tay hệ thống và thiết lập một reverse shell tới hạ tầng C2 của kẻ tấn công.

Tải và Tiêm mã fileless vào bộ nhớ

Tiếp theo, EggStremeLoader, được đăng ký như một dịch vụ Windows, sẽ giải mã hai payload được mã hóa bổ sung – EggStremeReflectiveLoader và EggStremeAgent – từ một file tài nguyên (ielowutil.exe.mui).

Reflective loader sau đó tiêm EggStremeAgent – thành phần cốt lõi của mã độc EggStreme – vào một tiến trình đáng tin cậy (như winlogon.exe, MsMpEng.exe, hoặc explorer.exe) hoàn toàn trong bộ nhớ. Việc tiêm mã fileless này đảm bảo mã được giải mã không bao giờ chạm vào đĩa ở dạng rõ ràng, cản trở các hệ thống diệt virus và phát hiện endpoint truyền thống.

Backdoor chính: EggStremeAgent

EggStremeAgent hoạt động như backdoor chính, giao tiếp với các máy chủ C2 qua mutual TLS sử dụng gRPC. Khi khởi động, nó giám sát các phiên người dùng mới. Sau khi phát hiện explorer.exe dưới ngữ cảnh người dùng, nó giải mã và tiêm EggStremeKeylogger vào tiến trình đó.

EggStremeAgent cung cấp 58 lệnh riêng biệt, cho phép trinh sát host chi tiết, thao tác file và thư mục, tiêm tiến trình, leo thang đặc quyền, di chuyển ngang và đánh cắp dữ liệu. Kẻ tấn công tận dụng các khả năng này để liệt kê các dịch vụ và chia sẻ mạng, khởi chạy shell từ xa, triển khai các payload bổ sung và thu thập thông tin đăng nhập nhạy cảm.

Thành phần Keylogger: EggStremeKeylogger

EggStremeKeylogger hoạt động như một thành phần của mã độc EggStreme, thu thập các phím bấm, nội dung clipboard và tiêu đề cửa sổ. Các nhật ký này được mã hóa và ghi vào một file ẩn trong %LOCALAPPDATA%.

Cơ chế Duy trì và Đảm bảo dự phòng của Mã độc EggStreme

Để đảm bảo duy trì sự hiện diện, mã độc EggStreme lạm dụng các dịch vụ Windows bị vô hiệu hóa hoặc cấu hình thủ công – như MSiSCSI, AppMgmt và SWPRV – bằng cách thay thế các binary dịch vụ hợp pháp hoặc thay đổi giá trị ServiceDLL trong registry.

Chức năng khởi tạo của công cụ là tùy chỉnh và được mã hóa cứng với các tham số cụ thể:

Secret: d@rkn3ss
Listening Port: 8531

Các dịch vụ này, được cấu hình với đặc quyền SeDebugPrivilege, khởi chạy EggStremeLoader mỗi khi hệ thống khởi động. Kẻ tấn công duy trì một mạng lưới các tên miền và IP C2 – được liên kết thông qua các chứng chỉ CA chia sẻ – để xoay vòng hạ tầng và tránh bị gỡ bỏ.

Một backdoor bổ sung, EggStremeWizard, được sideload qua xwizard.exe, đảm bảo dự phòng bằng cách duy trì các kênh C2 thay thế và quyền truy cập reverse shell.

Chiến lược Phòng thủ và Phát hiện Tấn công của Mã độc EggStreme

Các nhà phòng thủ cần triển khai các biện pháp phòng thủ đa tầng để phát hiện và ngăn chặn các cuộc tấn công sử dụng mã độc EggStreme. Giám sát các tải DLL bất thường bởi các binary đáng tin cậy, các sửa đổi registry dịch vụ bất thường và các mẫu tiêm mã trong bộ nhớ có thể cung cấp các chỉ số sớm.

Việc kích hoạt Windows Event Logging cho việc tạo tiến trình và thay đổi cấu hình dịch vụ, sử dụng giải pháp phát hiện endpoint (EDR) kiểm tra bộ nhớ tiến trình, và thực hiện kiểm toán thường xuyên các binary dịch vụ và các tham số registry cũng sẽ tăng cường khả năng phục hồi chống lại các mối đe dọa fileless.

Việc duy trì cảnh giác và thích ứng với các chiến thuật living-off-the-land tiên tiến là rất quan trọng. Các biện pháp phòng thủ này đặc biệt quan trọng để chống lại các mối đe dọa fileless như mã độc EggStreme.