محققان امنیتی شرکت Bitdefender گزارشی از یک بدافزار پیشرفته (APT) جدید با نام EggStreme منتشر کردهاند که از ابتدای سال ۲۰۲۴ فعالیت میکند. هدف این حمله یک شرکت نظامی در فیلیپین بوده و تکنیکهای پیچیدهای چون اجرای مخرب در حافظه (fileless)، sideload کردن DLL، backdoor با قابلیتهای گسترده، keylogging و استخراج دادهها در طول زمان را شامل میشود.
ریشهشناسی نام EggStreme
نام EggStreme توسط محققان امنیتی انتخاب شده و ترکیبی از دو بخش است:
✔️Egg (تخممرغ):
اجزای این بدافزار مانند لایههای تو در توی یک تخممرغ طراحی شدهاند. مهاجم ابتدا «پوسته»ای کوچک (EggStremeFuel) وارد سیستم میکند، سپس لایههای بعدی یکییکی باز شده و در نهایت Payload اصلی (EggStremeAgent) اجرا میشود. این ساختار دقیقاً مثل شکسته شدن پوسته تخممرغ و آزاد شدن محتوای درون آن عمل میکند.
✔️ Streme / Extreme :
اشاره به شدت و پیچیدگی فوقالعاده حمله دارد. EggStreme از تکنیکهای پیشرفتهای چون fileless execution، Reflective DLL Injection و ارتباط امن gRPC + mTLS استفاده میکند که تشخیص و مقابله با آن را بسیار سختتر از بدافزارهای سنتی میسازد.
این نامگذاری باعث میشود پژوهشگران و متخصصان امنیتی بهراحتی بتوانند درباره این خانواده خاص از بدافزار صحبت کرده و آن را از سایر حملات مشابه متمایز کنند.
جزئیات فنی پیشرفته
|
مؤلفه |
عملکرد / نکات کلیدی |
|
EggStremeFuel |
اولین مرحله حمله است؛ شامل sideload شدن DLL آلوده (mscorsvc.dll) از طریق باینری معتبر WinMail.exe در دایرکتوری Windows Mail. این مؤلفه fingerprint سیستم را انجام میدهد و کانال ارتباط معکوس (reverse shell) با سرور کنترل و فرمان (C2) برقرار میکند. |
|
EggStremeLoader |
با خواندن Payload رمزگذاریشده از فایلی مثل ielowutil.exe.mui دو مولفه دیگر را استخراج میکند EggStremeReflectiveLoaderو EggStremeAgent. |
|
EggStremeReflectiveLoader |
مولفهای است که با تزریق در فرآیندهای معتبر ویندوز (مثل winlogon.exe یا explorer.exe عملکرد را ادامه میدهد.به دلیل reflective injection در حافظه، ردپای کمی از خود بر روی دیسک باقی میگذارد. |
|
EggStremeAgent |
هستهی اصلی backdoor با امکانات گسترده: ۵۸ فرمان متفاوت برای شناسایی سیستم و شبکه، حرکت جانبی، اجرای کدهای دلخواه، استخراج دادهها، افزایش سطح دسترسی و غیره. همچنین بهصورت fileless عمل میکند و هیچ Payload رمزگشاییشدهای روی دیسک اجرا نمیشود. |
|
EggStremeKeylogger |
برای هر جلسه کاری جدید، keylogger به فرآیند explorer.exe تزریق میشود تا ورودیهای صفحهکلید (keystrokes) و دادههای حساس را جمعآوری کند. |
|
EggStremeWizard |
یک backdoor ثانویه است برای حفظ بقا. در صورتی که مولفه اصلی تشخیص داده یا از بین برود. قابلیت فایلآپلود/دانلود و ارتباط با سرورهای کنترل متعدد را دارد. |
روش نفوذ و پایداری EggStreme
✔️ نفوذ اولیه ممکن است از طریق SMB share و اجرای اسکریپت ورود (logon batch script) بوده باشد؛ روش دقیق هنوز مشخص نشده است.
✔️ برای پایداری، مهاجمان سرویسهای ویندوزی را که غالباً در حالت Manual یا Disabled هستند دستکاری کردهاند، مسیر فایل DLL یا دستور رجیستری مربوط به ServiceDLL را تغییر دادهاند، و یا سرویسهایی را جایگزین کردهاند تا مولفهی مخرب با امتیازات سطح بالا (SeDebugPrivilege) اجرا شود.
✔️ از گواهینامه مخصوص CA برای تأیید هویت سرورهای C2 استفاده شده و ارتباط با استفاده از gRPC همراه با mTLS برقرار میشود.
چرا این بدافزار مهم است؟
✔️ طراحی چندمرحلهای و تعامل اجزای مختلف باعث میشود تا تشخیص حمله پیچیده باشد و مدت زمان زیادی طول بکشد تا شناسایی شود.
✔️ معماری fileless و sideloading DLL از بین راهکارهای جلوگیری از بدافزارهای سنتی جلوگیری میکند.
✔️ فعالیت در حوزه نظامی و حساس، و همچنین استفاده از زیرساخت ویندوزی معتبر (LOLBins) نشان از برنامهریزی دقیق و هدفگیری واضح است.
✔️ منطقه آسیا-پاسفیک به خصوص فیلیپین در محور توجه تیمهای APT چینی قرار دارد؛ این حمله بخشی از الگوی وسیعتر جاسوسی سایبری در منطقه است.
توصیههای امنیتی برای سازمانها
- نظارت رفتاری بر حافظه
استفاده از EDR/XDR که قابلیت مانیتور کردن اجرای کد در حافظه، تزریق فرآیندها و reflective injection را دارد. - محدودسازی اجرای SIDeloading DLL
پیادهسازی سیاستهایی که جلوی اجرای DLLءهای کناری (که همراه با باینریهای معتبر هستند) را بگیرند، و نظارت بر تغییرات ServiceDLL در رجیستری. - محدود کردن استفاده از سرویسهای ویندوز غیرضروری
سرویسهایی که Manual یا Disabled هستند میتوانند نقطه سوءاستفاده شوند؛ باید دقت بالا باشد و در صورت نیاز، اصول least privilege اجرا شود. - احراز هویت قوی و کنترل دسترسی
استفاده از MFA، کنترل دقیق سطح دسترسیها (Privilege Escalation) و جلوگیری از دسترسیهای غیرضروری مدیر سطح بالا. - استفاده از کنترل شبکه و بررسی ارتباطات خروجی
شناسایی ارتباطات خروجی مشکوک به سرورهای C2، تشخیص استفاده از gRPC/mTLS با گواهینامه مشکوک. - آموزش کارکنان و آمادگی پاسخ به حادثه
آمادهسازی تیم واکنش به حادثه، در اختیار داشتن Playbook برای بدافزارهای فایللس، تمرین دورهای برای موقعیتهای مشابه.
جمعبندی
بدافزار EggStreme یک تهدید بسیار پیشرفته است که ترکیبی از ویژگیهای stealth (پنهانکاری)، عملکرد in-memory و طراحی ماژولار دارد. اگر سازمانی امروز این نوع تهدیدات را جدی نگیرد، ممکن است در حوزههای نظامی، دفاعی، صنعتی یا سازمانهای حساس، با خسارات بزرگ مواجه شود. آمادهسازی دفاعی و نظارت فعال برای مقابله با ابزارهایی مثل EggStreme ضروری به نظر میرسد.
