São Paulo — InkDesign News — A Bitdefender revelou a descoberta de um novo vetor de ataque, denominado EggStreme, utilizado por um grupo APT baseado na China para realizar espionagem contra organizações militares nas Filipinas e em toda a região da Ásia-Pacífico. A descoberta foi realizada após a análise de um incidente em uma empresa militar filipina.
Incidente e vulnerabilidade
O EggStreme é um framework de malware “fileless” projetado como um sistema unificado, contendo componentes que operam sequencialmente. Inicia-se com um loader chamado EggStremeFuel, que prepara o ambiente para as fases subsequentes. O componente principal, EggStremeAgent, é um backdoor abrangente que suporta 58 comandos, permitindo a coleta de dados do sistema, manipulação de arquivos e execução de comandos malignos. A execução é realizada de forma “fileless”, com módulos criptografados no disco sendo decriptados e executados apenas na memória. Esse método, combinado com um ataque de DLL sideloading, eleva o nível de dificuldade na detecção por soluções de segurança.
Impacto e resposta
Os efeitos dessa campanha têm sido significativos, com a capacidade de exfiltrar dados críticos e manipular registros essenciais. Além disso, o EggStremeAgent injeta um keylogger no processo explorer.exe a cada nova sessão de usuário, permitindo monitoramento de teclas pressionadas e dados copiados. A comunicação com servidores de comando e controle é realizada através de canais gRPC criptografados. De acordo com a Bitdefender, a operação está em andamento e as organizações afetadas são instadas a adotar as medidas de contenção necessárias.
“As organizações na região devem aplicar os indicadores de compromisso publicados.”
(“Organizations in the region should apply the published indicators of compromise.”)— Bitdefender
Mitigações recomendadas
Para proteger-se contra o EggStreme, a Bitdefender recomenda a atualização de sistemas com os patches mais recentes, além da implementação de práticas de segurança que incluem a segmentação de rede e a melhoria na monitorização de tráfego interno. Nas investigações, detalhes técnicos e indicadores de compromisso foram disponibilizados através do portal IntelliZone da Bitdefender e de seu repositório público no GitHub.
“O ataque do malware EggStreme demonstra que as campanhas de ciberataque não são eventos isolados.”
(“The EggStreme malware attack shows that these attack campaigns are not isolated events.”)— Bitdefender
A crescente pressão cibernética sobre as Filipinas, exacerbada por campanhas de hacktivismo e desinformação, destaca a urgência de uma abordagem robusta de defesa cibernética. As entidades vulneráveis devem permanecer atentas às ferramentas e técnicas emergentes utilizadas por atores maliciosos.
Fonte: (Hack Read – Segurança Cibernética)
