Китайские хакеры атаковали филиппинскую военную компанию с помощью нового вредоносного программного обеспечения без файлов под названием EggStreme. Источник: Techradar
Программа включает шесть модульных компонентов, которые обеспечивают удаленный доступ к системе, внедрение полезной нагрузки, кейлоггинг и постоянный шпионаж. Несмотря на то, что авторство атаки точно не установлено, цели операции совпадают с известной тактикой китайских APT-групп в Азиатско-Тихоокеанском регионе и за его пределами.
Компания Bitdefender, занимающаяся кибербезопасностью, опубликовала подробный отчет о EggStreme, отметив, что это многоэтапный набор инструментов, позволяющий вести малозаметный шпионаж путем внедрения вредоносного кода непосредственно в память и использования сторонних DLL для выполнения полезных нагрузок. Компоненты включают EggStremeFuel — начальный загрузчик DLL, EggStremeLoader — считыватель зашифрованных данных и их внедрение, EggStremeReflectiveLoader — расшифровка и внедрение окончательной полезной нагрузки, EggStremeAgent — основной бэкдор с 58 командами, EggStremeKeylogger — захват нажатий клавиш и конфиденциальных данных, а также EggStremeWizard — вторичный бэкдор для избыточности.
Bitdefender пытался установить прямую связь фреймворка с китайскими APT-группами, однако убедительных доказательств найдено не было. По словам Мартина Цугеца, директора по техническим решениям компании, цели атаки совпадают с типичными целями китайских APT-групп, и атрибуция основана на анализе интересов и задач злоумышленников.
Эксперты считают, что основной целью операции является кибершпионаж, сбор разведданных и длительная незаметная деятельность. Китайские субъекты известны такими действиями не только на Филиппинах, но и в других странах региона, включая Вьетнам и Тайвань, а также по всему миру. Вредоносный фреймворк EggStreme распространяется через загружаемый DLL-файл, который активируется с помощью доверенных исполняемых файлов, что позволяет обходить средства безопасности. Точный способ первоначального попадания DLL на устройства жертвы пока неизвестен.
Напомним, Филиппины вошли в топ стран, подвергающихся кибератакам: подозревают китайских хакеров.
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet