اكتشف الباحثون Earth Freybug، وهو ممثل تهديد مرتبط بالصين، يستخدم أداة برامج ضارة جديدة لتجاوز الآليات التي ربما تكون المنظمات قد وضعتها لمراقبة واجهات برمجة تطبيقات Windows (APIs) بحثًا عن أي نشاط ضار.
تعمل البرمجيات الخبيثة، التي اكتشفها الباحثون في Trend Micro وأطلقوا عليها اسم UNAPIMON، عن طريق تعطيل الخطافات في واجهات برمجة تطبيقات Windows لفحص وتحليل العمليات المتعلقة بواجهة برمجة التطبيقات بحثًا عن مشكلات أمنية.
إلغاء ربط واجهات برمجة التطبيقات
الهدف هو منع اكتشاف أو فحص أي عمليات تنتجها البرامج الضارة بواسطة أدوات مكافحة الفيروسات ومنتجات وضع الحماية وآليات الكشف عن التهديدات الأخرى.
"بالنظر إلى سلوك UNAPIMON وكيفية استخدامه في الهجوم، يمكننا أن نستنتج أن غرضه الأساسي هو إلغاء ربط وظائف واجهة برمجة التطبيقات المهمة في أي عملية فرعية." وقالت تريند مايكرو في تقرير هذا الأسبوع.
قال بائع الأمن: "بالنسبة للبيئات التي تنفذ مراقبة واجهة برمجة التطبيقات (API) من خلال الربط، مثل أنظمة وضع الحماية، فإن UNAPIMON سيمنع مراقبة العمليات الفرعية". وهذا يسمح بتشغيل البرامج الضارة دون أن يتم اكتشافها.
قامت Trend Micro بتقييم Earth Freybug باعتبارها مجموعة فرعية من APT41، وهي مجموعة من مجموعات التهديد الصينية يشار إليها بشكل مختلف باسم Winnti وWicked Panda وBarium وSuckfly. تشتهر المجموعة باستخدام مجموعة من الأدوات المخصصة وما يسمى بثنائيات العيش خارج الأرض (LOLbins) التي تتعامل مع ثنائيات النظام الشرعية مثل PowerShell وWindows Management Instrumentation (WMI).
كانت APT41 نفسها نشطة منذ عام 2012 على الأقل وترتبط بالعديد من حملات التجسس الإلكتروني وهجمات سلسلة التوريد والجرائم الإلكترونية ذات الدوافع المالية. في عام 2022، حدد الباحثون في Cybereason جهة التهديد على أنها سرقة كميات كبيرة من الأسرار التجارية والملكية الفكرية من الشركات في الولايات المتحدة وآسيا لسنوات. وكان من بين ضحاياها مؤسسات التصنيع وتكنولوجيا المعلومات، الحكوماتو البنية التحتية الحيوية أهداف في الولايات المتحدة وشرق آسيا وأوروبا. في عام 2020، الحكومة الأمريكية واتهم خمسة أعضاء يعتقد أنهم مرتبطون بالجماعة لدورهم في الهجمات ضد أكثر من 100 منظمة على مستوى العالم.
سلسلة الهجوم
في الحادث الأخير الذي لاحظته شركة Trend Micro، استخدمت الجهات الفاعلة في Earth Freybug نهجًا متعدد المراحل لتقديم UNAPIMON على الأنظمة المستهدفة. في المرحلة الأولى، قام المهاجمون بحقن تعليمات برمجية ضارة مجهولة المصدر في ملف vmstools.exe، وهي عملية مرتبطة بمجموعة من الأدوات المساعدة لتسهيل الاتصالات بين الجهاز الظاهري الضيف والجهاز المضيف الأساسي. أنشأت التعليمات البرمجية الضارة مهمة مجدولة على الجهاز المضيف لتشغيل ملف برنامج نصي دفعي (cc.bat) على النظام المضيف.
تتمثل مهمة الملف الدفعي في جمع مجموعة من معلومات النظام وبدء مهمة مجدولة ثانية لتشغيل ملف cc.bat على المضيف المصاب. يستفيد ملف البرنامج النصي الدفعي الثاني من SessionEnv، وهي خدمة Windows لإدارة خدمات سطح المكتب البعيد، لتحميل مكتبة الارتباط الديناميكي الضارة (DLL) على المضيف المصاب. "يتميز cc.bat الثاني بالاستفادة من الخدمة التي تقوم بتحميل مكتبة غير موجودة لتحميل ملف DLL ضار بشكل جانبي. وفي هذه الحالة، الخدمة هي SessionEnv،» حسبما قالت تريند مايكرو.
يقوم ملف DLL الضار بعد ذلك بإسقاط UNAPIMON على خدمة Windows لأغراض التهرب الدفاعي وأيضًا على عملية cmd.exe التي تنفذ الأوامر بهدوء. "UNAPIMON بحد ذاته واضح ومباشر: فهو عبارة عن برنامج ضار DLL مكتوب بلغة C++ وهو ليس مكتظًا أو غامضًا؛ وقال تريند مايكرو: "إنه غير مشفر باستثناء سلسلة واحدة". ما يجعلها "غريبة" هو أسلوبها في التهرب الدفاعي المتمثل في إلغاء ربط واجهات برمجة التطبيقات (APIs) بحيث تظل العمليات الضارة للبرامج الضارة غير مرئية لأدوات الكشف عن التهديدات. "في السيناريوهات النموذجية، البرامج الضارة هي التي تقوم بالربط. ومع ذلك، فإن العكس هو الصحيح في هذه الحالة.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/cyberattacks-data-breaches/china-linked-threat-actor-using-peculiar-malware-to-hide-malicious-activities
- :لديها
- :يكون
- :ليس
- 100
- 2012
- 2020
- 2022
- 7
- a
- نشط
- نشاط
- الجهات الفاعلة
- ضد
- يسمح
- أيضا
- تحليل
- و
- الحماية من الفيروسات
- أي وقت
- API
- واجهات برمجة التطبيقات
- تطبيق
- نهج
- AS
- آسيا
- تقييم
- أسوشيتد
- At
- مهاجمة
- الهجمات
- BAT
- BE
- كان
- سلوك
- يجري
- يعتقد
- ما بين
- by
- تجنب
- C + +
- الحملات
- CAN
- حقيبة
- سلسلة
- طفل
- الصينية
- الكود
- جمع
- مجموعة شتاء XNUMX
- جماعي
- مجال الاتصالات
- الشركات
- خلق
- حرج
- على
- الانترنت
- جرائم الإنترنت
- الدفاع
- تقديم
- سطح المكتب
- الكشف عن
- كشف
- اكتشف
- هل
- قطرات
- ديناميكي
- أرض
- الشرق
- مشفرة
- البيئات
- تجسس
- أوروبا
- تملص
- ينفذ
- تيسير
- قم بتقديم
- ماليا
- الاسم الأول
- خمسة
- في حالة
- تبدأ من
- وظائف
- على الصعيد العالمي
- هدف
- حكومة
- تجمع
- مجموعات
- ضيف
- يملك
- السنانير
- مضيف
- كيفية
- لكن
- HTML
- HTTPS
- محدد
- تنفيذ
- in
- حادث
- شامل
- إصابة
- معلومات
- بدء
- فكري
- واجهات
- إلى
- غير مرئى
- مسائل
- IT
- انها
- نفسها
- JPG
- معروف
- كبير
- الأقل
- شرعي
- روافع
- الاستفادة من
- المكتبة
- LINK
- مرتبط
- الأحمال
- أبحث
- آلة
- يصنع
- خبيث
- البرمجيات الخبيثة
- إدارة
- إدارة
- تصنيع
- آليات
- الأعضاء
- الصغير
- ربما
- مراقبة
- مراقبة
- مراقبة
- الأكثر من ذلك
- الدافع
- عين
- لا هذا ولا ذاك
- جديد
- معدوم
- جدير بالذكر
- كثير
- of
- on
- مقابل
- or
- المنظمات
- الأصل
- أخرى
- موضب
- غريب
- المكان
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- بوويرشيل
- منع
- ابتدائي
- عملية المعالجة
- العمليات
- المنتجات
- برمجة وتطوير
- البرامج
- غرض
- أغراض
- وضع
- بهدوء
- نطاق
- الأخيرة
- يشار
- لا تزال
- عن بعد
- تقرير
- الباحثين
- النوع
- يجري
- s
- قال
- حفظ
- سيناريوهات
- المقرر
- سيناريو
- الثاني
- أسرار
- أمن
- الخدمة
- خدماتنا
- طقم
- منذ
- عزباء
- So
- المسرح
- صريح
- خيط
- هذه
- تزويد
- سلسلة التوريد
- نظام
- أنظمة
- الهدف
- الأهداف
- مهمة
- تقنية
- من
- أن
- •
- من مشاركة
- then
- التهديد
- عبر
- إلى
- أداة
- أدوات
- تجارة
- اكثر شيوعا
- نموذجي
- التي تقوم عليها
- غير معروف
- us
- الحكومة الأمريكية
- مستعمل
- استخدام
- خدمات
- بائع
- بواسطة
- ضحايا
- افتراضي
- الجهاز الظاهري
- مجلدات
- وكان
- we
- ابحث عن
- التي
- سوف
- نوافذ
- مع
- بدون
- أعمال
- مكتوب
- سنوات
- زفيرنت