CyberThao
Writer
Một nhóm tin tặc được cho là do nhà nước Trung Quốc tài trợ vừa bị cáo buộc đứng sau chiến dịch tấn công nhằm vào một công ty quân sự tại Philippines. Nhóm này đã sử dụng một nền tảng phần mềm độc hại mới, chưa từng được ghi nhận trước đây, có tên EggStreme.
Theo báo cáo từ Bitdefender, EggStreme là bộ công cụ tấn công nhiều giai đoạn, hoạt động trực tiếp trong bộ nhớ thay vì lưu file, giúp tránh bị phát hiện. Phần lõi EggStremeAgent đóng vai trò như cửa hậu, hỗ trợ gián điệp lâu dài bằng cách do thám hệ thống, di chuyển ngang trong mạng và đánh cắp dữ liệu thông qua một keylogger tích hợp.
Việc Philippines trở thành mục tiêu không quá bất ngờ khi quốc gia này thường xuyên bị nhắm tới trong các chiến dịch mạng liên quan đến căng thẳng lãnh thổ ở Biển Đông.
EggStreme được phát hiện lần đầu từ đầu năm 2024, bao gồm nhiều thành phần liên kết chặt chẽ. Quá trình tấn công bắt đầu với EggStremeFuel (“mscorsvc.dll”), thực hiện lập hồ sơ hệ thống và triển khai EggStremeLoader để duy trì bền bỉ, sau đó kích hoạt EggStremeReflectiveLoader nhằm chạy EggStremeAgent.
EggStremeFuel có thể mở kênh liên lạc với máy chủ điều khiển (C2), thu thập thông tin ổ đĩa, khởi động cmd.exe, đọc và gửi file, lấy địa chỉ IP ngoài, thậm chí tắt máy từ xa.
EggStremeAgent chính là “hệ thần kinh trung ương”, theo dõi các phiên người dùng và chèn EggStremeKeylogger để ghi lại thao tác bàn phím. Nó giao tiếp với C2 qua giao thức gRPC và hỗ trợ tới 58 lệnh khác nhau, cho phép thực hiện:
Đặc điểm nguy hiểm của EggStreme là cơ chế fileless, tức mã độc chỉ hoạt động trong bộ nhớ, kết hợp kỹ thuật DLL side-loading nhiều giai đoạn, khiến việc phát hiện và gỡ bỏ cực kỳ khó khăn.
Bitdefender kết luận: EggStreme là một nền tảng tấn công tinh vi, được thiết kế để duy trì truy cập lâu dài, lẩn tránh công cụ phòng thủ và đánh cắp dữ liệu nhạy cảm từ mục tiêu chiến lược.
Đọc chi tiết tại đây: https://thehackernews.com/2025/09/chinese-apt-deploys-eggstreme-fileless.html
Theo báo cáo từ Bitdefender, EggStreme là bộ công cụ tấn công nhiều giai đoạn, hoạt động trực tiếp trong bộ nhớ thay vì lưu file, giúp tránh bị phát hiện. Phần lõi EggStremeAgent đóng vai trò như cửa hậu, hỗ trợ gián điệp lâu dài bằng cách do thám hệ thống, di chuyển ngang trong mạng và đánh cắp dữ liệu thông qua một keylogger tích hợp.
Việc Philippines trở thành mục tiêu không quá bất ngờ khi quốc gia này thường xuyên bị nhắm tới trong các chiến dịch mạng liên quan đến căng thẳng lãnh thổ ở Biển Đông.
Cấu trúc và khả năng của EggStreme
EggStreme được phát hiện lần đầu từ đầu năm 2024, bao gồm nhiều thành phần liên kết chặt chẽ. Quá trình tấn công bắt đầu với EggStremeFuel (“mscorsvc.dll”), thực hiện lập hồ sơ hệ thống và triển khai EggStremeLoader để duy trì bền bỉ, sau đó kích hoạt EggStremeReflectiveLoader nhằm chạy EggStremeAgent.
EggStremeFuel có thể mở kênh liên lạc với máy chủ điều khiển (C2), thu thập thông tin ổ đĩa, khởi động cmd.exe, đọc và gửi file, lấy địa chỉ IP ngoài, thậm chí tắt máy từ xa.
EggStremeAgent chính là “hệ thần kinh trung ương”, theo dõi các phiên người dùng và chèn EggStremeKeylogger để ghi lại thao tác bàn phím. Nó giao tiếp với C2 qua giao thức gRPC và hỗ trợ tới 58 lệnh khác nhau, cho phép thực hiện:
- Liệt kê hệ thống và mạng
- Chạy shell tùy ý
- Leo thang đặc quyền
- Di chuyển ngang
- Đánh cắp dữ liệu
- Tiêm tải trọng phụ như EggStremeWizard (“xwizards.dll”)
Đặc điểm nguy hiểm của EggStreme là cơ chế fileless, tức mã độc chỉ hoạt động trong bộ nhớ, kết hợp kỹ thuật DLL side-loading nhiều giai đoạn, khiến việc phát hiện và gỡ bỏ cực kỳ khó khăn.
Bitdefender kết luận: EggStreme là một nền tảng tấn công tinh vi, được thiết kế để duy trì truy cập lâu dài, lẩn tránh công cụ phòng thủ và đánh cắp dữ liệu nhạy cảm từ mục tiêu chiến lược.
Đọc chi tiết tại đây: https://thehackernews.com/2025/09/chinese-apt-deploys-eggstreme-fileless.html
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
