Selon Bitdefender (blog Business Insights), une enquête démarrée début 2024 sur un environnement d’une entreprise militaire philippine a mis au jour un nouveau framework de malware fileless nommé EggStreme, dont les TTPs s’alignent sur ceux de groupes APT chinois. L’objectif: obtenir un accès persistant et discret pour de l’espionnage à long terme.

• Chaîne d’infection et persistance. L’attaque débute via DLL sideloading: un script netlogon/logon.bat déploie WinMail.exe (légitime) et mscorsvc.dll (malveillant, EggStremeFuel). EggStremeFuel établit un reverse shell et réalise du fingerprinting. Les attaquants abusent de services Windows désactivés (ex. MSiSCSI, AppMgmt, SWPRV), modifient ServiceDLL et octroient SeDebugPrivilege pour persister. Un service EggStremeLoader lit un conteneur chiffré (ielowutil.exe.mui) pour extraire un reflective loader injecté dans winlogon, qui lance l’implant final EggStremeAgent.

• Contrôle à distance et espionnage. EggStremeAgent communique en gRPC sur mTLS (CA privée de l’attaquant), offre 58 commandes (inventaire hôte/réseau, exécution, injection, escalade, exfiltration, scans RPC/ports, planificateur de tâches, services distants, proxy). Il surveille les sessions utilisateur et injecte EggStremeKeylogger dans explorer.exe pour capturer frappes, presse-papiers, contexte fenêtre et empreinte réseau, en chiffrant les journaux. Un backdoor secondaire EggStremeWizard est déployé par sideloading via xwizard.exe pour la redondance (C2 multiples, AES ECB). Un proxy Stowaway (Go) est également utilisé pour pivoter en interne.

• Composants et techniques notables. Le framework est multi‑étages et fileless: composants chiffrés sur disque, déchiffrés et injectés uniquement en mémoire (RC4/XOR), usage récurrent du DLL sideloading (dont WinMail.exe, xwizard.exe), CreateProcessWithToken, SeDebugPrivilege, injection dans MsMpEng.exe/explorer.exe, LSASS injection, timestomping, Zlib pour exfiltration, et outils type Impacket.

• Infrastructure C2. Tous les implants partagent une autorité de certification unique (SKI 51655e8e97fc7265b1aaa4265d94e2f7cae9c913) pour le mTLS, permettant d’identifier d’autres C2. Des domaines C2 observés: whosecity[.]org, webpirat[.]net, ronaldmooremd[.]net, kazinovavada[.]com; fsstore[.]org a été vu sur 154.90.35.190 puis sur 45.115.224.163 (AKI 643042DF50CEF080E44851E7D5D6F654F772EBC5), indiquant un rafraîchissement d’infra. Une config d’agent mentionne sealtribute[.]org; EggStremeWizard peut basculer vers sinhluc[.]net.

• IOCs et TTPs. IOCs réseau: whosecity[.]org, webpirat[.]net, ronaldmooremd[.]net, kazinovavada[.]com, fsstore[.]org (IPs 154.90.35.190, 45.115.224.163), sealtribute[.]org, sinhluc[.]net. Certificats: CA SKI 51655e8e97fc7265b1aaa4265d94e2f7cae9c913, AKI 643042DF50CEF080E44851E7D5D6F654F772EBC5. Artefacts clés: conteneurs MUI (ielowutil.exe.mui, splwow64.exe.mui), chiffrages RC4/XOR/AES‑ECB, clés RC4 (Cookies, google/Google, Microsoft/microsoft), clé AES (+JBHXU4X*%^Y&(DP). Principaux TTPs: DLL sideloading, exécution fileless avec reflective loading, abus de services et de SeDebugPrivilege, injection de processus (dont LSASS), gRPC/mTLS avec CA dédiée, keylogging et clipboard hijacking, timestomping, proxy interne (Stowaway), WMIC/Impacket‑like pour le mouvement latéral.

Type d’article: analyse technique visant à documenter en détail un nouveau framework d’espionnage multi‑étages, ses composants, son infrastructure et ses IOCs.

🧠 TTPs et IOCs détectés

TTP

[‘DLL sideloading’, ’exécution fileless’, ‘reflective loading’, ‘abus de services Windows désactivés’, ‘SeDebugPrivilege’, ‘injection de processus’, ‘LSASS injection’, ‘gRPC/mTLS avec CA dédiée’, ‘keylogging’, ‘clipboard hijacking’, ’timestomping’, ‘proxy interne (Stowaway)’, ‘WMIC/Impacket-like pour le mouvement latéral’, ‘CreateProcessWithToken’, ‘injection dans MsMpEng.exe/explorer.exe’]

IOC

{‘domain’: [‘whosecity.org’, ‘webpirat.net’, ‘ronaldmooremd.net’, ‘kazinovavada.com’, ‘fsstore.org’, ‘sealtribute.org’, ‘sinhluc.net’], ‘ip’: [‘154.90.35.190’, ‘45.115.224.163’], ‘certificate’: [‘CA SKI 51655e8e97fc7265b1aaa4265d94e2f7cae9c913’, ‘AKI 643042DF50CEF080E44851E7D5D6F654F772EBC5’], ‘artifact’: [‘ielowutil.exe.mui’, ‘splwow64.exe.mui’], ’encryption_key’: [‘RC4: Cookies’, ‘RC4: google/Google’, ‘RC4: Microsoft/microsoft’, ‘AES: +JBHXU4X*%^Y&(DP’]}

🔗 Source originale : https://www.bitdefender.com/en-us/blog/businessinsights/eggstreme-fileless-malware-cyberattack-apac