Вредоносная программа EggStreme привлекла внимание специалистов по кибербезопасности после атаки на филиппинскую военную компанию. Как сообщают исследователи из Bitdefender, эта ранее невиданная файлесс структура работает незаметно, что особенно опасно для
Модульная структура EggStreme
EggStreme включает в себя шесть модульных компонентов, которые делают его уникальным. Каждый выполняет свою функцию: от создания обратной оболочки до действия в качестве основного
- EggStremeFuel: начальный загрузчик, который использует легитимные исполняемые файлы для побочного запуска вредоносного кода.
- EggStremeLoader: извлекает зашифрованные нагрузки и внедряет их в процессы.
- EggStremeReflectiveLoader: расшифровывает и внедряет окончательную нагрузку.
- EggStremeAgent: основной имплант с 58 командами, что позволяет осуществлять широкий спектр враждебных действий.
- EggStremeKeylogger: записывает нажатия клавиш и собирает чувствительные пользовательские данные.
- EggStremeWizard: резервный
бэкдор , обеспечивающий продолжение деятельности, если основной будет обнаружен.
Методы доставки EggStreme также добавляют ему сложности, включая использование DLL sideloading. Это позволяет программе обходить стандартные меры безопасности, что затрудняет её обнаружение. Пока что неизвестно, каким образом злонамеренные DLL сначала попадают в систему жертвы. Возможные векторы заражения могут варьироваться от компрометации цепочки поставок до ручной установки после предварительного доступа.
Специалисты Bitdefender продолжают следить за этой угрозой и планируют выпустить новые рекомендации по защите. Основное внимание уделяется предотвращению её распространения в регионах
