Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware EggStreme Fileless Malware

EggStreme Fileless Malware

Von Mezo in Malware, Erweiterte, anhaltende Bedrohung (APT)
Übersetzen Sie in:

Ein philippinisches Militärunternehmen ist Opfer einer ausgeklügelten Cyberspionage-Kampagne geworden, die mit einer mutmaßlich aus China stammenden Advanced Persistent Threat (APT)-Gruppe in Verbindung steht. Die Angreifer nutzten ein bisher unbekanntes dateiloses Schadsoftware-Framework namens EggStreme, das darauf ausgelegt ist, langfristig und unauffällig Zugriff auf kompromittierte Systeme zu erhalten.

Das EggStreme Framework: Mehrstufig und dateilos

EggStreme ist kein einzelnes Schadprogramm, sondern ein eng integriertes Framework aus Komponenten. Die Infektionskette beginnt mit EggStremeFuel (mscorsvc.dll), das ein Systemprofil erstellt, bevor EggStremeLoader eingesetzt wird, um die Persistenz zu gewährleisten. Darauf folgt EggStremeReflectiveLoader, das die Haupt-Backdoor EggStremeAgent auslöst.

Die dateilose Ausführung des Frameworks stellt sicher, dass Schadcode vollständig im Speicher ausgeführt wird und nur minimale Spuren auf der Festplatte hinterlässt. Darüber hinaus erschwert die Verwendung von DLL-Sideloading in der gesamten Angriffskette die Erkennung und Forensik.

EggStremeAgent: Das zentrale Nervensystem

Das Herzstück des Frameworks bildet EggStremeAgent, eine voll funktionsfähige Hintertür, die als primäre Kontrollzentrale des Angreifers fungiert. Sie ermöglicht Systemaufklärung, Rechteausweitung und laterale Bewegung und setzt gleichzeitig EggStremeKeylogger ein, um Tastenanschläge über aktive Benutzersitzungen hinweg zu erfassen.

Die Hintertür kommuniziert mit ihrer Command-and-Control-Infrastruktur (C2) über das Google Remote Procedure Call-Protokoll (gRPC) und unterstützt sage und schreibe 58 Befehle, von der Datenexfiltration und Shellcode-Ausführung bis hin zur Payload-Injektion.

Ein zusätzliches Implantat, EggStremeWizard (xwizards.dll), bietet Angreifern eine Reverse Shell und Dateiübertragungsfunktionen. Das Design umfasst mehrere C2-Server und gewährleistet so die Ausfallsicherheit, selbst wenn ein Server ausfällt.

Funktionen von EggStremeFuel

Das erste Modul, EggStremeFuel, ist für die Aufklärung und den Aufbau einer Kommunikation mit der Infrastruktur der Angreifer zuständig. Es ermöglicht den Betreibern:

  • Sammeln Sie Informationen zum Systemlaufwerk.
  • Starten Sie cmd.exe und halten Sie die Kommunikation über Pipes aufrecht.
  • Übertragen Sie die externe IP-Adresse der Maschine mit myexternalip.com/raw.
  • Lesen Sie lokale und Remote-Dateien und speichern oder übertragen Sie deren Inhalt.
  • Speichert die Konfigurationsdaten im Speicher auf die Festplatte.
  • Beenden Sie Verbindungen bei Bedarf.

Taktiken, Techniken und Werkzeuge

Die Bedrohungsakteure nutzen konsequent DLL-Sideloading, indem sie legitime Binärdateien starten, die schädliche DLLs laden. Sie integrieren außerdem das Proxy-Dienstprogramm Stowaway, um sich in internen Netzwerken zu etablieren. In Kombination mit dem dateilosen Ausführungsfluss der Malware ermöglichen diese Techniken, dass sich die Operation in die normale Systemaktivität einfügt und der Erkennung durch herkömmliche Sicherheitstools entgeht.

Geopolitischer Kontext und Attributionsherausforderungen

Dass mit China verbundene Gruppen gezielt philippinische Unternehmen ins Visier nehmen, ist nichts Neues und wird wahrscheinlich durch die anhaltenden Territorialstreitigkeiten im Südchinesischen Meer beeinflusst, an denen China, Vietnam, die Philippinen, Taiwan, Malaysia und Brunei beteiligt sind.

Obwohl diese spezifische Kampagne keiner bekannten chinesischen APT-Gruppe zugeschrieben wurde, decken sich die Ziele und Interessen stark mit denen, die historisch mit staatlich geförderten chinesischen Akteuren in Verbindung gebracht werden. Forscher begannen Anfang 2024 mit der Verfolgung der Aktivität, konnten sie jedoch noch nicht eindeutig mit einer bestehenden Bedrohungsgruppe in Verbindung bringen.

Eine anhaltende und schwer zu bekämpfende Bedrohung

Die EggStreme-Malware-Familie zeichnet sich durch ein hohes Maß an Raffinesse, Persistenz und Anpassungsfähigkeit aus. Der Einsatz dateiloser Techniken, mehrstufiger Ausführung und redundanter C2-Infrastruktur unterstreicht das umfassende Wissen der Betreiber über moderne Abwehrmaßnahmen. Für Verteidiger ist diese Kampagne eine Erinnerung an die sich entwickelnde Bedrohungslandschaft und die Bedeutung proaktiver Erkennungs- und Reaktionsstrategien.

Im Trend

Am häufigsten gesehen

Wird geladen...