Хятадаас ирсэн дэвшилтэт байнгын аюул (APT) бүлэглэл нь Филиппинд төвтэй цэргийн компани EggStreme хэмээх өмнө нь бичиг баримтгүй файлгүй хортой программ хангамжийн тогтолцоог ашиглан буулт хийсэнтэй холбоотой гэж үзжээ .
Bitdefender судлаач Богдан Завадовски The Hacker News-тэй хуваалцсан тайландаа "Энэ олон үе шаттай багаж хэрэгсэл нь хортой кодыг санах ой руу шууд оруулж, DLL-ийн хажуугаар ачааллыг ашиглах замаар байнгын, бага зэрэгтэй тагнуул хийдэг" гэж Bitdefender судлаач Богдан Завадовски хэлэв .
"Үндсэн бүрэлдэхүүн хэсэг болох EggStremeAgent нь системд өргөн хүрээтэй хайгуул хийх, хажуугийн хөдөлгөөн хийх, тарьсан keylogger-ээр дамжуулан өгөгдөл хулгайлах боломжийг олгодог бүрэн функц бүхий арын хаалга юм."
Филиппинийг онилох нь Хятадын төрийн дэмжлэгтэй хакерын бүлэглэлүүдийн хувьд байнга давтагддаг загвар юм , ялангуяа Хятад, Вьетнам, Филиппин, Тайвань, Малайз, Бруней зэрэг Өмнөд Хятадын тэнгис дэх газар нутгийн маргаанаас үүдэлтэй геополитикийн хурцадмал байдлын үүднээс .
Гэсэн хэдий ч хамгийн сүүлийн үеийн үйл ажиллагаа нь Хятадын аль нэг хакерын бүлэгтэй холбоотой гэж мэдэгдээгүй байна. Bitdefender-ийн техникийн шийдлийн захирал Мартин Зугек The Hacker News-т өгсөн ярилцлагадаа "Бид таниулах тал дээр маш их хүчин чармайлт гаргасан ч юу ч олсонгүй." "Гэсэн хэдий ч зорилтууд нь Хятадын APT-тай нийцдэг. Үүний хувьд бидний хамаарал нь сонирхол/зорилтод тулгуурладаг."
2024 оны эхээр хорлонтой үйл ажиллагааны шинж тэмдгийг анх илрүүлсэн Румыний кибер аюулгүй байдлын үйлдвэрлэгч EggStreme-ийг халдвар авсан машинууд дээр "уян хатан суурь" бий болгохоор зохион бүтээсэн хортой бүрэлдэхүүн хэсгүүдийн нягт нэгдсэн багц гэж тодорхойлсон. Энэ үе шатанд халдлагад ашигласан анхны хандалтын вектор тодорхойгүй хэвээр байна.
Олон үе шаттай үйл ажиллагааны эхлэлийн цэг нь EggStremeFuel ("mscorsvc.dll") хэмээх ашигтай ачаалал бөгөөд системийн профайлыг хийж, EggStremeLoader-ийг ажиллуулж, тууштай байдлыг тохируулах ба дараа нь EggStremeReflectiveLoader-ийг ажиллуулдаг бөгөөд энэ нь эргээд EggStremeAgent-ийг идэвхжүүлдэг.
EggStremeFuel-ийн функцууд нь команд-хяналт (C2) бүхий идэвхтэй холбооны сувгийг нээж, дараахь зүйлийг хийх боломжийг олгодог.
- Жолооны мэдээлэл авах
- cmd.exe-г эхлүүлж, хоолойгоор дамжуулан холбоо тогтооно
- Бүх холболтыг сайтар хааж, унтраа
- Серверээс файл уншиж, дискэнд хадгална
- Өгөгдсөн замаас локал файлыг уншиж, агуулгыг нь дамжуулах
- myexternalip[.]com/raw руу хүсэлт гаргаж гадаад IP хаягийг илгээнэ үү
- Санах ойн тохиргоог диск рүү буулгана уу
EggStremeAgent-ийг системийн "төв мэдрэлийн систем" гэж нэрлээд, арын хаалга нь шинэ хэрэглэгчийн сессүүдийг хянах замаар ажилладаг бөгөөд товчлуур дарах болон бусад эмзэг өгөгдлийг цуглуулахын тулд сесс бүрт EggStremeKeylogger гэж нэрлэсэн keylogger бүрэлдэхүүн хэсгийг суулгадаг. Энэ нь Google Remote Procedure Call ( gRPC ) протоколыг ашиглан C2 сервертэй холбогддог .
Энэ нь локал болон сүлжээний нээлт, системийг тоолох, бүрхүүлийн кодыг дур мэдэн гүйцэтгэх, давуу эрх нэмэгдүүлэх, хажуу тийш шилжүүлэх, өгөгдөл гадагшлуулах, ачаа шахах зэрэг олон төрлийн чадварыг идэвхжүүлдэг гайхалтай 58 командыг дэмждэг бөгөөд үүнд туслах суулгац ("EggStremexwizards.") код нэртэй туслах суулгац багтдаг.
"Халдагчид үүнийг хортой DLL-ийг ачаалах хууль ёсны хоёртын файлыг эхлүүлэхийн тулд ашигладаг бөгөөд энэ аргыг халдлагын гинжин хэлхээнд байнга урвуулан ашигладаг" гэж Завадовски тэмдэглэв.
"Энэ хоёрдогч арын хаалга нь урвуу бүрхүүлд хандах, файл байршуулах/татаж авах боломжийг олгодог. Түүний загвар нь олон C2 серверийн жагсаалтыг багтаасан бөгөөд түүний уян хатан чанарыг сайжруулж, нэг C2 сервер офлайн болсон ч халдагчидтай харилцах харилцааг хадгалах боломжтой."
Энэхүү үйл ажиллагаа нь мөн дотоод сүлжээний тулгуурыг бий болгохын тулд Stowaway прокси хэрэгслийг ашиглан тодорхойлогддог . Фреймворкийн файлгүй байдал нь илрүүлэлтийг улам хүндрүүлж байгаа нь хортой кодыг дискэн дээр ямар ч ул мөр үлдээлгүйгээр шууд санах ойд ачаалж, гүйцэтгэхэд хүргэдэг.
"Энэ нь DLL-ийг хажуугаар нь ачаалах, боловсронгуй, олон үе шаттай гүйцэтгэлийн урсгалтай хослуулсан нь хүрээг бага зэрэгтэй ажиллах боломжийг олгодог бөгөөд энэ нь чухал бөгөөд байнгын аюул болж байна" гэж Bitdefender хэлэв.
"EggStreme хортой программ хангамжийн гэр бүл нь байнгын хандалт, хажуугийн хөдөлгөөн, өгөгдөл гадагшлуулах зорилготой маш боловсронгуй, олон бүрэлдэхүүн хэсэг бүхий аюул заналхийлэл юм. Энэхүү аюул заналхийлэгч нь илрүүлэхээс зайлсхийхийн тулд янз бүрийн тактикийг ашиглан орчин үеийн хамгаалалтын техникүүдийн талаар ахисан түвшний ойлголтыг харуулж байна."
