Logiciel malveillant sans fichier EggStreme
Une entreprise militaire basée aux Philippines a été victime d'une campagne de cyberespionnage sophistiquée liée à un groupe de menaces persistantes avancées (APT) qui proviendrait de Chine. Les attaquants ont exploité un framework de malware sans fichier jusqu'alors inconnu, baptisé EggStreme, conçu pour maintenir un accès discret et durable aux systèmes compromis.
Table des matières
Le framework EggStreme : multi-étapes et sans fichier
EggStreme n'est pas un malware isolé, mais un ensemble de composants étroitement intégrés. Sa chaîne d'infection commence par EggStremeFuel (mscorsvc.dll), qui profile le système avant de déployer EggStremeLoader pour établir la persistance. Il est suivi par EggStremeReflectiveLoader, qui déclenche la porte dérobée principale, EggStremeAgent.
L'exécution sans fichier du framework garantit que le code malveillant s'exécute entièrement en mémoire, laissant un minimum de traces sur le disque. De plus, le chargement latéral de DLL tout au long de la chaîne d'attaque complique la détection et l'analyse forensique.
EggStremeAgent : Le système nerveux central
Au cœur du framework se trouve EggStremeAgent, une porte dérobée entièrement fonctionnelle qui sert de centre de contrôle principal à l'attaquant. Elle permet la reconnaissance du système, l'élévation des privilèges et les déplacements latéraux, tout en déployant EggStremeKeylogger pour capturer les frappes clavier lors des sessions utilisateur actives.
La porte dérobée communique avec son infrastructure de commande et de contrôle (C2) via le protocole Google Remote Procedure Call (gRPC) et prend en charge un nombre impressionnant de 58 commandes, allant de l'exfiltration de données et de l'exécution de shellcode à l'injection de charge utile.
Un implant auxiliaire, EggStremeWizard (xwizards.dll), offre aux attaquants des fonctionnalités de shell inversé et de transfert de fichiers. Sa conception intègre plusieurs serveurs C2, garantissant ainsi la résilience même en cas de panne d'un serveur.
Capacités d’EggStremeFuel
Le module initial, EggStremeFuel, est chargé de la reconnaissance et de l'établissement de la communication avec l'infrastructure des attaquants. Il permet aux opérateurs de :
- Collecter les informations sur le lecteur système.
- Démarrez cmd.exe et maintenez la communication via des tuyaux.
- Transmettez l'adresse IP externe de la machine en utilisant myexternalip.com/raw.
- Lire des fichiers locaux et distants, enregistrer ou transmettre leur contenu.
- Vider les données de configuration en mémoire sur le disque.
- Fermez les connexions lorsque cela est nécessaire.
Tactiques, techniques et outils
Les pirates informatiques utilisent systématiquement le chargement latéral de DLL en lançant des binaires légitimes qui chargent des DLL malveillantes. Ils intègrent également l'utilitaire proxy Stowaway pour sécuriser leur pénétration dans les réseaux internes. Combinées au flux d'exécution sans fichier du malware, ces techniques permettent à l'opération de se fondre dans l'activité normale du système et d'échapper à la détection des outils de sécurité traditionnels.
Contexte géopolitique et défis d’attribution
Le ciblage d’entités philippines par des groupes liés à la Chine n’est pas nouveau et est probablement influencé par les conflits territoriaux en cours dans la mer de Chine méridionale impliquant la Chine, le Vietnam, les Philippines, Taïwan, la Malaisie et Brunei.
Bien que cette campagne spécifique n'ait été attribuée à aucun groupe APT chinois connu, ses objectifs et ses intérêts concordent fortement avec ceux historiquement associés aux acteurs soutenus par l'État chinois. Les chercheurs ont commencé à suivre cette activité début 2024, mais n'ont pas encore établi de lien concluant avec un groupe menaçant existant.
Une menace persistante et évasive
La famille de malwares EggStreme se distingue par son haut niveau de sophistication, de persistance et d'adaptabilité. Son recours à des techniques sans fichier, à une exécution en plusieurs étapes et à une infrastructure C2 redondante souligne la maîtrise des mesures défensives modernes par les opérateurs. Pour les défenseurs, cette campagne rappelle l'évolution du paysage des menaces et l'importance des stratégies proactives de détection et de réponse.
