Китайська APT EggStreme зламала військову компанію на Філіппінах

Китайська група APT провела нову операцію проти філіппінської військової компанії, використавши унікальний fileless malware-фреймворк EggStreme. Атака дозволила зловмисникам здійснювати шпигунство, викрадення даних і приховані операції в мережі, обходячи традиційні засоби виявлення. 

За даними Bitdefender, кампанія побудована на багаторівневій інфраструктурі, що включає компоненти EggStremeFuel, EggStremeLoader, EggStremeReflectiveLoader та ключовий бекдор EggStremeAgent. 

⠀ Можливості EggStremeAgent:

• зчитування даних з диску та відправка на C2-сервер;

• моніторинг нових користувацьких сесій;

• кейлогер EggStremeKeylogger для збору натискань клавіш;

• виконання довільного shell-коду;

• рух усередині мережі (lateral movement);

• привілейоване виконання команд і ексфільтрація файлів.

Додатково використовується імплант EggStremeWizard, що забезпечує реверс-шел і обмін файлами, а також Stowaway proxy для прихованого доступу всередині корпоративних систем.

Особливість атаки — fileless-природа, коли код повністю завантажується в пам’ять без збереження на диск. У поєднанні з DLL-sideloading це робить EggStreme надзвичайно стійким та малопомітним.  Філіппіни вже не вперше стають мішенню китайських кібероперацій. Це напряму пов’язано з геополітичними конфліктами у Південно-Китайському морі, де триває боротьба за територіальний контроль між Китаєм, В’єтнамом, Тайванем, Малайзією та Брунеєм. 

Bitdefender відзначає, що хоча пряма атрибуція до відомих китайських груп поки відсутня, цілі й методи відповідають типовій стратегії APT з Китаю: довготривале шпигунство, викрадення даних і посилення тиску через кіберкампанії.

EggStreme — це приклад сучасної еволюції шпигунського ПЗ, яке обходить класичні антивірусні засоби та створює загрозу для оборонних структур. Атака показує, що APT-кампанії стають все більш прихованими та витонченими, а країнам регіону необхідно посилювати кіберзахист критичної інфраструктури.