Bitdefender araştırmacıları, Çin kaynaklı gelişmiş kalıcı tehdit (APT) grubunun Filipinler askeri sistemlerine yönelik EggStreme adlı çok aşamalı, dosyasız zararlı yazılımı kullandığını açıkladı. EggStreme, kötü amaçlı kodu doğrudan belleğe enjekte ederek ve DLL yan yükleme teknikleriyle düşük profilli, kalıcı casusluk faaliyetleri yürütüyor.
EggStreme’in Teknik Yapısı ve İşlevleri
Ana bileşen EggStremeAgent, enjekte edilmiş tuş kaydedici aracılığıyla kapsamlı sistem keşfi, yatay hareket ve veri sızdırma yeteneklerine sahip tam özellikli bir arka kapı olarak görev yapıyor. Bu modül, Google Remote Procedure Call (gRPC) protokolü üzerinden komut ve kontrol (C2) sunucusuyla iletişim kuruyor. EggStremeFuel adlı yük bileşeni ise “mscorsvc.dll” ismiyle çalışarak sistem profillemesi yapıyor, kalıcılık sağlamak için EggStremeLoader ve EggStremeReflectiveLoader bileşenlerini tetikliyor.
Güney Çin Denizi Jeopolitik Gerilimi ve Hedefleme
Filipinler’in hedef alınması, Çin, Vietnam, Tayvan, Malezya ve Brunei arasındaki Güney Çin Denizi’ndeki toprak anlaşmazlıklarıyla bağlantılı jeopolitik gerilimler bağlamında tekrarlanan bir örüntü oluşturuyor. Ancak Bitdefender, bu saldırıların bilinen herhangi bir Çinli hacker grubuna doğrudan atfedilemediğini belirtiyor. Araştırmacılar, atfı hedeflerin çıkarları ve coğrafi konumları üzerinden yapıyor.
Çok Aşamalı ve Dosyasız Operasyonun Ayrıntıları
EggStreme, 58 farklı komut destekleyerek yerel ve ağ keşfi, ayrıcalık yükseltme, rastgele kabuk kodu yürütme, yatay hareket ve veri sızdırma gibi geniş yetenekler sunuyor. Yardımcı modüllerden EggStremeWizard (“xwizards.dll”) da operasyonun önemli bir parçası. Saldırganlar, meşru ikili dosyaları kötü amaçlı DLL ile yan yükleyerek ters kabuk erişimi ve dosya yükleme/indirme işlemlerini gerçekleştiriyor. Ayrıca Stowaway proxy aracı kullanılarak iç ağda kalıcılık sağlanıyor. Dosyasız yapısı sayesinde zararlı kod, belleğe doğrudan yüklenip çalıştırılıyor ve diskte iz bırakmıyor.
Sonuç ve Değerlendirme
Bitdefender, EggStreme’in karmaşık çok aşamalı yapısı ve DLL yan yükleme teknikleri sayesinde düşük profilli ve kalıcı bir tehdit oluşturduğunu vurguluyor. Bu zararlı yazılım ailesi, gelişmiş taktiklerle modern savunma mekanizmalarını aşacak şekilde tasarlanmış son derece sofistike bir tehdit aktörünü temsil ediyor.