Un grupo de apartamento chino ha comprometido a una empresa militar con sede en Filipinas que utiliza un novedoso marco de malware sin archivo, que se llama «Eggstreme», advirtieron los investigadores de Bitdefender. El conjunto de herramientas de varias etapas logra un espionaje persistente y de bajo perfil al inyectar código malicioso directamente en la memoria y aprovechar la respuesta de DLL para ejecutar cargas útiles. Estas cargas útiles incluyen una puerta trasera llamada «Eggstremeagent», que permite un amplio reconocimiento del sistema, movimiento lateral y robo de datos a través de un keylogger inyectado. Los investigadores dijeron que el enfoque modular, sin filtro y de vida (LOTL) desplegado por el marco destaca un cambio significativo en la artesanía adversaria. «La amenaza no es una colección de ejecutables individuales, sino una operación dinámica de varias etapas que aprovecha las herramientas legítimas y los comportamientos del sistema para permanecer sin ser detectados», señalaron. El valor estratégico del objetivo, su ubicación limitada por el Mar del Sur de China y las tácticas utilizadas en el ataque, son consistentes con el de los grupos APT chinos. «El enfoque principal de los atacantes era lograr un acceso persistente para el espionaje y la vigilancia a largo plazo, destacando el trabajo de un actor de amenaza altamente profesional cuyos objetivos se alinean con los intereses nacionales conocidos», agregaron los investigadores. La forma en que se implementa el malware sin archivo, el informe de BitDefender, publicado el 10 de septiembre, reveló que la investigación de la empresa comenzó a principios de 2024 después de detectar la ejecución de un script de lote de inicio de sesión de una acción de SMB. Se desconoce el método exacto por el cual se colocó el script en el SMB. La función principal del script era implementar dos archivos en el directorio de Windows. Uno de estos fue una DLL maliciosa llamada MSCorsvc.dll. El malicioso Mscorsvc.dll fue la primera etapa de la cadena de ataque, denominada «Eggstremefuel», que establece el entorno para la carga útil final. El componente Eggstremefuel incluye capacidades para las huellas dactilares del sistema, lo que permite al atacante recopilar información sobre la máquina comprometida. Su función más importante es establecer un shell inverso y crear un canal de comunicación con el servidor de comando y control (C2) utilizando tuberías de lectura-escritura. Esto proporciona al atacante una interfaz de línea de comandos remota (CLI) en el sistema comprometido. El actor apt mantuvo el acceso persistente al abusar de varios servicios legítimos de Windows que no están habilitados de forma predeterminada. Esto les permitió mezclarse con las operaciones normales del sistema mientras mantienen el acceso. Luego, el atacante desplegó un binario malicioso llamado «Eggstremeloader». Este componente es responsable de leer un archivo que contiene tanto el «EggStremereFlectiveLoader» encriptado como la carga útil de Eggstremeagent. El implante final de huevos de huevos es una puerta trasera sofisticada que se comunica con el servidor C2 utilizando el protocolo GRPC, un marco de código abierto para construir llamadas de procedimientos remotos (RPC). El malware admite 58 comandos distintos, que incluyen huellas dactilares del sistema, escalada de privilegios, ejecución de comandos, exfiltración de datos e inyección de procesos. En varias máquinas, se desplegó una puerta trasera secundaria y más ligera, que se llama «Eggstremewizard». Esta puerta trasera secundaria proporciona capacidades de acceso de shell inverso y carga/descarga de archivos. «El éxito de la campaña es un resultado directo de un kit de herramientas de malware altamente coordinado, no una colección de implantes aislados. Cada componente tiene un propósito distintivo en la cadena de ataque, desde la ejecución inicial y la persistencia hasta la entrega de carga útil en la memoria y el comando y el control remoto finales. Un análisis más profundo revela fuertes vínculos entre los componentes, lo que sugiere un esfuerzo de desarrollo único», notaron los investigadores. Cómo defenderse contra el kit de herramientas de Eggstreme Bitdefender proporcionó una serie de recomendaciones para que los equipos de seguridad defiendan contra sofisticados kits de herramientas de malware sin archivo como Eggstreme. Estos incluyen: limitar el uso de binarios legítimos pero de alto riesgo para reducir proactivamente su superficie de ataque que adoptan capacidades de detección y respuesta para identificar frases complejas de ataque y detectar anomalías conductuales que evitan las capas de prevención