Bitdefenderは、中国のAPTグループが使用する新たなファイルレスマルウェアフレームワーク 「EggStreme」 を報告した。この高度な多段階ツールセットは、悪意あるコードをメモリに直接注入し、DLLサイドローディングを活用することで、検知されにくい状態を維持しながらスパイ活動を行う。

調査対象は、フィリピンに拠点を置く軍事関連企業への攻撃で、戦略的価値や南シナ海における地政学的文脈から、攻撃手法が中国APTグループに一致すると結論付けられた。攻撃者の目的は、永続的なアクセスを確立して長期的な偵察・スパイ活動を行うことにあるとみられている。

EggStremeの構造と機能

EggStremeは複数の段階で構成される緊密なツールセットで、感染マシン上に強固な足場を確立する設計となっている。

1. EggStremeFuel (mscorsvc.dll)

   • システムのプロファイリングを実施し、次段階のEggStremeLoaderをデプロイ

2. EggStremeLoader → EggStremeReflectiveLoader

   • 復号・実行され、最終ペイロードEggStremeAgentへの中間段階として機能

3. EggStremeAgent

   • 中枢的なバックドアで、新規ユーザーセッションを監視

   • キーロガーコンポーネント EggStremeKeylogger によりキーストロークや機密情報を収集

   • gRPCプロトコルでC2サーバーと通信し、58種類のコマンドで権限昇格、ラテラルムーブメント、データ抜き取りなどを実行

4. EggStremeWizard (xwizards.dll)

   • 補助バックドアとしてリバースシェルアクセス、ファイルのアップロード・ダウンロードを提供

   • 複数C2サーバー対応で通信維持能力を確保

さらに、内部ネットワーク内での足場確保にプロキシユーティリティ Stowaway が活用されている点も特筆される。

EggStremeはファイルレスで動作し、DLLサイドローディングや多段階実行フローにより検知回避が可能なため、Bitdefenderはこれを「重大で永続的な脅威」と評価。攻撃者が現代の防御技術を深く理解していることを示す事例だとしている。

引用元記事：https://codebook.machinarecord.com/threatreport/silobreaker-cyber-alert/40830/