EggStremeマルウェアとは
EggStremeは、新たに確認されたファイルレス型マルウェアフレームワークであり、2025年にフィリピンの軍事組織への侵害を契機に発見されました。
この高度なツールセットは、メモリ内コードインジェクションを介して持続的かつステルス性の高いアクセスを可能にし、フォレンジック証拠を最小限に抑えます。
初期アクセスは、公開されたSMB共有からのログオンスクリプトを介して行われ、正規のWindowsバイナリと悪意のあるDLLがユーザのAppDataまたは類似ディレクトリに展開されます。このバイナリはDLLサイドローディングを使用して、EggStremeFuelと呼ばれる第一段階のローダーとしてDLLを読み込み、システムのフィンガープリントを取得します。そして、cmd.exeを介してリバースシェルを開き、C2(コマンド&コントロール)サーバに接続します。
永続性は、EggStremeLoaderをサービスとしてインストールし、ServiceDLLレジストリキーを変更するか、サービスバイナリを置き換えて再起動後も生存することで確立されます。EggStremeLoaderは、オンディスクのペイロードを復号し、そのなかにはリフレクティブローダーとコアインプラントであるEggStremeAgentが含まれ、いずれもメモリ内でのみ復号されます。
EggStremeAgentは、信頼された、または昇格されたプロセスにリフレクティブインジェクションされ、ディスク書き込みを回避し、ステルス性を高めます。各ユーザセッション中、EggStremeKeyloggerがexplorer.exeにインジェクトされ、キーストローク、クリップボードデータ、ウィンドウタイトル、その他の機密情報を取得します。
EggStremeAgentは、悪意のある認証局によって発行された証明書を使用して認証を行い、相互TLSで保護されたgRPCチャネルを確立します。また、ファイルおよびレジストリ操作、プロセスインジェクション、RPCおよびWMICを使用したラテラルムーブメント、データ流出のためのコマンドをサポートします。二次バックドアであるEggStremeWizardは、フォールバックのファイル転送および代替C2アクセスを可能にします。
EggStremeのモジュール型かつファイルレスのアーキテクチャは、ステルス性の高い多段階侵入を際立たせており、信頼されたバイナリの制御と行動監視による多層防御の必要性を強調しています。
推奨される対策
- 環境内のIoC(侵害の兆候)を監視し、異常を特定する。
- Windows環境をOEMに従って最新バージョンにパッチ適用し、多要素認証で保護する。
- 包括的かつ全方位的な脅威評価を実施し、ブラインドスポットや改善点を明らかにする。
※本文中に記載されている会社名・製品名は各社の登録商標または商標の場合があります。
本稿は、KPMGインドが発行している「Threat Intelligence Advisories」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。また、本文中の数値や引用は、英語原文の出典によるものであることをお断りします。
