Source: https://thehackernews.com/2025/09/chinese-apt-deploys-eggstreme-fileless.html
🛡 概要
中国の高度な持続的脅威(APT)グループが、フィリピンの軍事関連企業を狙った攻撃を実行しました。この攻撃には、EggStremeという新たに発見されたファイルレスマルウェアフレームワークが使用されており、直接メモリに悪意のあるコードを注入することで持続的なスパイ活動を実現しています。この手法は、特に南シナ海における領土問題によって引き起こされる地政学的緊張を背景に、フィリピンがターゲットとして選ばれることが多いことを示しています。
🔍 技術詳細
EggStremeは、複数の段階で構成されたツールセットであり、主なコンポーネントであるEggStremeAgentは、システムの調査やデータ窃取を可能にするバックドアです。このフレームワークは、DLLサイドローディングを利用してペイロードを実行します。EggStremeFuelというペイロードが最初に実行され、システムプロファイリングを行い、EggStremeLoaderを展開します。EggStremeAgentは、ユーザーセッションを監視し、各セッションに対してEggStremeKeyloggerを注入してキーストロークを収集します。さらに、58のコマンドをサポートし、ローカルおよびネットワークの発見、特権昇格、データの流出を可能にします。
⚠ 影響
このマルウェアの影響は広範囲に及び、フィリピンの軍事機関の情報セキュリティに深刻な脅威をもたらします。EggStremeは、ファイルレスであるため、検知が困難であることに加え、DLLサイドローディングを多用することで、攻撃者が低プロファイルで活動できることを可能にします。攻撃者は、複数のコマンドおよびコントロール(C2)サーバーを使用して、逆シェルアクセスやファイルのアップロード・ダウンロードが可能な二次的なバックドアを設計しており、これにより持続的なアクセスを維持することができます。
🛠 対策
このような高度な脅威に対抗するためには、組織は多層的な防御戦略を採用する必要があります。まず、エンドポイント保護ソフトウェアを最新の状態に保ち、定期的な脆弱性スキャンを実施することが重要です。また、不審なアクティビティを監視するためのSIEM(セキュリティ情報およびイベント管理)システムを導入し、異常な通信を検知する技術を活用することが推奨されます。さらに、従業員に対してセキュリティ意識向上のための教育を行い、フィッシング攻撃やソーシャルエンジニアリングの手法に対する警戒を促すことが必要です。
