Un grupo de amenaza persistente avanzada previamente desconocida (APT) ha desatado un nuevo marco de malware sin archivo, denominado Eggstreme, en una campaña de espionaje altamente dirigida contra organizaciones estratégicas.
Al emerger a principios de 2024, Eggstreme explota el ejecutable legítimo de Windows Mail (Winmail (.) EXE) para que se vaya a una biblioteca maliciosa, permitiendo a los atacantes lograr la ejecución del código en la memoria sin escribir cargas útiles descifradas en el disco.
Esta técnica evade las defensas tradicionales basadas en archivos y ha activado las alarmas entre los equipos de seguridad que operan en sectores confidenciales.
La cadena de ataque comienza cuando se entrega un script de inicio de sesión a través de una acción de SMB expuesta ejecuta Winmail (.) EXE del directorio AppData del usuario.
En lugar de cargar la biblioteca genuina de tiempo de ejecución .NET, el binario carga inadvertidamente MSCORSVC (.) DLL, que contiene el cargador de la primera etapa.
Una vez cargado, este DLL establece un shell inverso invocando CMD (.) EXE y creando tuberías de lectura/escritura a un servidor de comando y control (C2).
El movimiento lateral y la persistencia se orquestan a través de servicios de Windows secuestrados que se ejecutan con privilegios elevados.
Analistas de Bitdefender anotado que el marco Eggstreme está compuesto por múltiples componentes estrechamente integrados, cada uno responsable de una fase distinta de la operación.
El Eggstremeloader, registrado como un servicio, lee un archivo de carga útil cifrado (ielowutil (.) Exe (.) Mui) y extrae dos capas más: un cargador reflectante y el agente de trasero central.
Al aprovechar la inyección reflexiva en procesos de confianza como Winlogon.exe o Explorer.exe, el adversario garantiza la ejecución continua en la memoria.
Este enfoque de varias etapas, con cada capa descifrada e inyectada solo cuando sea necesario, hace que la detección sea extremadamente difícil.
En su forma final, Eggstremeagent establece un canal de comunicación basado en GRPC asegurado por TLS mutuo, autenticando con certificados emitidos por una autoridad de certificado malicioso compartido.
Flujo de infección de múltiples etapas de Eggstreme (fuente-Bitdefender)
Una vez que la puerta trasera está en la memoria, sus 58 comandos permiten huellas digitales remotas, manipulación de archivos, operaciones de registro, inyección de procesos y movimiento lateral sofisticado, como escaneos RPC y creación de procesos remotos basados en WMIC.
Mecanismo de infección y dll lateral
La infección inicial de Eggstreme aprovecha un fragmento de código sutil pero potente para secuestrar la orden de búsqueda de las bibliotecas de Windows.
Eggstremewizard (fuente – bitdefender)
Al colocar una DLL maliciosa junto a Winmail.exe, el malware obliga al código legítimo binario a cargar atacante controlado por los atacantes. A continuación se muestra un fragmento representativo:-
// Pseudo-código que ilustra Dll Sideloading Many Hmodule = LoadLibRarya (“MSCORSVC (.) DLL”); if (hmodule) {farProc pfunc = getProcAddress (hModule, “CorBindTorUntime”); if (pfunc) {pfunc (); }}
Cuando Winmail.exe llama a LoadLibRarya (“MSCORSVC (.) DLL”), el cargador de Windows busca primero el directorio local, encontrando el DLL malicioso en lugar de la versión del sistema.
El cargador descifra su carga útil utilizando una tecla RC4 (“Cookies”), busca una configuración en disco en %AppData %\ Microsoft \ Windows \ Cookies \ Cookies (.) DAT, y actualiza su lista C2 en memoria en consecuencia.
El apretón de manos inicial comprende un intercambio de claves cifrado de 32 bytes con RC4, asegurando la integridad antes de que se cree el shell.
La persistencia se logra a través de dos enfoques complementarios. En algunos casos, los atacantes alteran el valor de registro de servicio de servicio bajo HKLM \ System \ CurrentControlSet \ Services \\ Parámetros para apuntar a una DLL maliciosa.
En otros, reemplazan los binarios de servicio y otorgan Sedebugvivilege, lo que permite que la carga útil maliciosa se ejecute bajo el contexto de un servicio de Windows confiable.
Ambos métodos aseguran que los componentes de Eggstreme se vuelven a cargar en cada reinicio, manteniendo un punto de apoyo resistente.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
