EggStreme ファイルレスマルウェア
フィリピンに拠点を置く軍事企業が、中国を拠点とするとみられるAPT(高度で持続的な脅威)グループによる高度なサイバースパイ活動の標的となった。攻撃者は、これまで知られていなかったファイルレスマルウェアフレームワーク「EggStreme」を悪用した。これは、侵害されたシステムへの長期的かつ目立たないアクセスを維持することを目的として設計された。
目次
EggStremeフレームワーク:マルチステージとファイルレス
EggStremeは単一のマルウェアではなく、緊密に統合されたコンポーネントのフレームワークです。感染チェーンはEggStremeFuel(mscorsvc.dll)から始まります。EggStremeFuelはシステムのプロファイリングを行い、その後EggStremeLoaderを展開して永続性を確立します。その後、EggStremeReflectiveLoaderがメインのバックドアであるEggStremeAgentを起動します。
このフレームワークのファイルレス実行により、悪意のあるコードは完全にメモリ内で実行され、ディスク上の痕跡は最小限に抑えられます。さらに、攻撃チェーン全体でDLLサイドローディングが使用されるため、検出とフォレンジックが複雑になります。
EggStremeAgent: 中枢神経系
このフレームワークの中核を成すのは、攻撃者の主要な制御ハブとして機能する、完全に機能するバックドア「EggStremeAgent」です。EggStremeAgentは、システムの偵察、権限昇格、ラテラルムーブメントを可能にするだけでなく、アクティブなユーザーセッション全体のキーストロークをキャプチャするEggStremeKeyloggerも展開します。
このバックドアは、Google リモート プロシージャ コール (gRPC) プロトコルを介してコマンド アンド コントロール (C2) インフラストラクチャと通信し、データの抽出やシェルコードの実行からペイロードの挿入に至るまで、驚異的な 58 個のコマンドをサポートしています。
補助的なインプラントの一つであるEggStremeWizard(xwizards.dll)は、攻撃者にリバースシェルとファイル転送機能を提供します。複数のC2サーバーを組み込んだ設計により、1つのサーバーが機能停止した場合でも回復力を確保します。
EggStremeFuelの機能
最初のモジュールであるEggStremeFuelは、偵察活動と攻撃者のインフラとの通信確立を任務としています。これにより、オペレーターは以下のことが可能になります。
- システム ドライブ情報を収集します。
- cmd.exe を起動し、パイプを介して通信を維持します。
- myexternalip.com/raw を使用して、マシンの外部 IP アドレスを送信します。
- ローカル ファイルとリモート ファイルを読み取り、その内容を保存または転送します。
- メモリ内の構成データをディスクにダンプします。
- 必要に応じて接続をシャットダウンします。
戦術、テクニック、ツール
脅威アクターは、正規のバイナリを起動することで悪意のあるDLLをロードするDLLサイドローディングを常用しています。また、内部ネットワークへの足掛かりを確保するために、Stowawayプロキシユーティリティを統合しています。これらの手法とマルウェアのファイルレス実行フローを組み合わせることで、マルウェアは通常のシステムアクティビティに紛れ込み、従来のセキュリティツールによる検出を回避します。
地政学的文脈と帰属の課題
中国とつながりのあるグループがフィリピンの団体を標的にするのは目新しいことではなく、中国、ベトナム、フィリピン、台湾、マレーシア、ブルネイが関与する南シナ海の領土紛争の影響を受けたものと思われます。
この特定のキャンペーンは、既知の中国のAPTグループに帰属するものではありませんが、その目的と利益は、歴史的に中国政府支援のアクターと関連づけられてきたものと強く一致しています。研究者は2024年初頭からこの活動の追跡を開始しましたが、既存の脅威グループとの明確な関連性はまだ確認されていません。
執拗かつ回避的な脅威
EggStremeマルウェアファミリーは、高度な洗練性、持続性、そして適応性を備えています。ファイルレス技術、多段階実行、そして冗長化されたC2インフラストラクチャへの依存は、攻撃者が最新の防御策に関する高度な知識を有していることを如実に示しています。防御側にとって、このキャンペーンは、進化する脅威環境と、プロアクティブな検知・対応戦略の重要性を改めて認識させるものとなっています。
