ممثل التهديد المرتبط بالصين يختبئ عبر البرامج الضارة "الغريبة"

اكتشف الباحثون Earth Freybug، وهو ممثل تهديد مرتبط بالصين، يستخدم أداة برامج ضارة جديدة لتجاوز الآليات التي ربما تكون المنظمات قد وضعتها لمراقبة واجهات برمجة تطبيقات Windows (APIs) بحثًا عن أي نشاط ضار.

تعمل البرمجيات الخبيثة، التي اكتشفها الباحثون في Trend Micro وأطلقوا عليها اسم UNAPIMON، عن طريق تعطيل الخطافات في واجهات برمجة تطبيقات Windows لفحص وتحليل العمليات المتعلقة بواجهة برمجة التطبيقات بحثًا عن مشكلات أمنية.

إلغاء ربط واجهات برمجة التطبيقات

الهدف هو منع اكتشاف أو فحص أي عمليات تنتجها البرامج الضارة بواسطة أدوات مكافحة الفيروسات ومنتجات وضع الحماية وآليات الكشف عن التهديدات الأخرى.

"بالنظر إلى سلوك UNAPIMON وكيفية استخدامه في الهجوم، يمكننا أن نستنتج أن غرضه الأساسي هو إلغاء ربط وظائف واجهة برمجة التطبيقات المهمة في أي عملية فرعية." وقالت تريند مايكرو في تقرير هذا الأسبوع.

قال بائع الأمن: "بالنسبة للبيئات التي تنفذ مراقبة واجهة برمجة التطبيقات (API) من خلال الربط، مثل أنظمة وضع الحماية، فإن UNAPIMON سيمنع مراقبة العمليات الفرعية". وهذا يسمح بتشغيل البرامج الضارة دون أن يتم اكتشافها.

قامت Trend Micro بتقييم Earth Freybug باعتبارها مجموعة فرعية من APT41، وهي مجموعة من مجموعات التهديد الصينية يشار إليها بشكل مختلف باسم Winnti وWicked Panda وBarium وSuckfly. تشتهر المجموعة باستخدام مجموعة من الأدوات المخصصة وما يسمى بثنائيات العيش خارج الأرض (LOLbins) التي تتعامل مع ثنائيات النظام الشرعية مثل PowerShell وWindows Management Instrumentation (WMI).

كانت APT41 نفسها نشطة منذ عام 2012 على الأقل وترتبط بالعديد من حملات التجسس الإلكتروني وهجمات سلسلة التوريد والجرائم الإلكترونية ذات الدوافع المالية. في عام 2022، حدد الباحثون في Cybereason جهة التهديد على أنها سرقة كميات كبيرة من الأسرار التجارية والملكية الفكرية من الشركات في الولايات المتحدة وآسيا لسنوات. وكان من بين ضحاياها مؤسسات التصنيع وتكنولوجيا المعلومات، الحكوماتو البنية التحتية الحيوية أهداف في الولايات المتحدة وشرق آسيا وأوروبا. في عام 2020، الحكومة الأمريكية واتهم خمسة أعضاء يعتقد أنهم مرتبطون بالجماعة لدورهم في الهجمات ضد أكثر من 100 منظمة على مستوى العالم.

سلسلة الهجوم

في الحادث الأخير الذي لاحظته شركة Trend Micro، استخدمت الجهات الفاعلة في Earth Freybug نهجًا متعدد المراحل لتقديم UNAPIMON على الأنظمة المستهدفة. في المرحلة الأولى، قام المهاجمون بحقن تعليمات برمجية ضارة مجهولة المصدر في ملف vmstools.exe، وهي عملية مرتبطة بمجموعة من الأدوات المساعدة لتسهيل الاتصالات بين الجهاز الظاهري الضيف والجهاز المضيف الأساسي. أنشأت التعليمات البرمجية الضارة مهمة مجدولة على الجهاز المضيف لتشغيل ملف برنامج نصي دفعي (cc.bat) على النظام المضيف.

تتمثل مهمة الملف الدفعي في جمع مجموعة من معلومات النظام وبدء مهمة مجدولة ثانية لتشغيل ملف cc.bat على المضيف المصاب. يستفيد ملف البرنامج النصي الدفعي الثاني من SessionEnv، وهي خدمة Windows لإدارة خدمات سطح المكتب البعيد، لتحميل مكتبة الارتباط الديناميكي الضارة (DLL) على المضيف المصاب. "يتميز cc.bat الثاني بالاستفادة من الخدمة التي تقوم بتحميل مكتبة غير موجودة لتحميل ملف DLL ضار بشكل جانبي. وفي هذه الحالة، الخدمة هي SessionEnv،» حسبما قالت تريند مايكرو.

يقوم ملف DLL الضار بعد ذلك بإسقاط UNAPIMON على خدمة Windows لأغراض التهرب الدفاعي وأيضًا على عملية cmd.exe التي تنفذ الأوامر بهدوء. "UNAPIMON بحد ذاته واضح ومباشر: فهو عبارة عن برنامج ضار DLL مكتوب بلغة C++ وهو ليس مكتظًا أو غامضًا؛ وقال تريند مايكرو: "إنه غير مشفر باستثناء سلسلة واحدة". ما يجعلها "غريبة" هو أسلوبها في التهرب الدفاعي المتمثل في إلغاء ربط واجهات برمجة التطبيقات (APIs) بحيث تظل العمليات الضارة للبرامج الضارة غير مرئية لأدوات الكشف عن التهديدات. "في السيناريوهات النموذجية، البرامج الضارة هي التي تقوم بالربط. ومع ذلك، فإن العكس هو الصحيح في هذه الحالة.

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.darkreading.com/cyberattacks-data-breaches/china-linked-threat-actor-using-peculiar-malware-to-hide-malicious-activities