Kina-forbundet trusselskuespiller skjuler sig via 'ejendommelig' malware

Forskere har set Earth Freybug, en trusselsaktør, der er knyttet til Kina, ved at bruge et nyt malwareværktøj til at omgå mekanismer, som organisationer kunne have indført for at overvåge Windows-applikationsprogrammeringsgrænseflader (API'er) for ondsindet aktivitet.

Malwaren, som forskere hos Trend Micro opdagede og navngav UNAPIMON, virker ved at deaktivere kroge i Windows API'er til at inspicere og analysere API-relaterede processer for sikkerhedsproblemer.

Afhooking API'er

Målet er at forhindre eventuelle processer, som malwaren afføder, i at blive opdaget eller inspiceret af antivirusværktøjer, sandboxing-produkter og andre trusselsdetektionsmekanismer.

"Når vi ser på UNAPIMONs adfærd, og hvordan det blev brugt i angrebet, kan vi udlede, at dets primære formål er at koble kritiske API-funktioner af i enhver underordnet proces." Det sagde Trend Micro i en rapport i denne uge.

"For miljøer, der implementerer API-overvågning gennem hooking, såsom sandboxing-systemer, vil UNAPIMON forhindre underordnede processer i at blive overvåget," sagde sikkerhedsleverandøren. Dette gør det muligt for ondsindede programmer at køre uden at blive opdaget.

Trend Micro vurderede Earth Freybug som værende en undergruppe af APT41, et kollektiv af kinesiske trusselsgrupper, der på forskellige måder omtales som Winnti, Wicked Panda, Barium og Suckfly. Gruppen er kendt for at bruge en samling af brugerdefinerede værktøjer og såkaldte living-off-the-land binære filer (LOLbins), der manipulerer legitime systembinære filer såsom PowerShell og Windows Management Instrumentation (WMI).

APT41 selv har været aktiv siden mindst 2012 og er forbundet med adskillige cyberspionagekampagner, forsyningskædeangreb og økonomisk motiveret cyberkriminalitet. I 2022 identificerede forskere ved Cybereason trusselsaktøren som stjæle store mængder forretningshemmeligheder og intellektuel ejendom fra virksomheder i USA og Asien i årevis. Dets ofre har omfattet fremstillings- og it-organisationer, regeringerog kritisk infrastruktur mål i USA, Østasien og Europa. I 2020, den amerikanske regering sigtet fem medlemmer, der menes at være tilknyttet gruppen for deres rolle i angreb mod mere end 100 organisationer globalt.

Angrebskæde

I den nylige hændelse, som Trend Micro observerede, brugte Earth Freybug-aktører en flertrins tilgang til at levere UNAPIMON på målsystemer. I den første fase injicerede angriberne ondsindet kode af ukendt oprindelse i vmstools.exe, en proces forbundet med et sæt hjælpeprogrammer til at lette kommunikationen mellem en virtuel gæstemaskine og den underliggende værtsmaskine. Den ondsindede kode skabte en planlagt opgave på værtsmaskinen til at køre en batchscriptfil (cc.bat) på værtssystemet.

Batchfilens opgave er at indsamle en række systemoplysninger og starte en anden planlagt opgave for at køre en cc.bat-fil på den inficerede vært. Den anden batchscriptfil udnytter SessionEnv, en Windows-tjeneste til styring af fjernskrivebordstjenester, til at sideindlæse et ondsindet dynamisk linkbibliotek (DLL) på den inficerede vært. "Den anden cc.bat er bemærkelsesværdig for at udnytte en tjeneste, der indlæser et ikke-eksisterende bibliotek til at sideindlæse en ondsindet DLL. I dette tilfælde er tjenesten SessionEnv,” sagde Trend Micro.

Den ondsindede DLL dropper derefter UNAPIMON på Windows-tjenesten for at undgå forsvarsformål og også på en cmd.exe-proces, der stille og roligt udfører kommandoer. “UNAPIMON i sig selv er ligetil: Det er en DLL-malware skrevet i C++ og er hverken pakket eller sløret; den er ikke krypteret undtagen for en enkelt streng,” sagde Trend Micro. Det, der gør det "mærkeligt", er dets forsvars-unddragelsesteknik til at koble API'er af, så malwarens ondsindede processer forbliver usynlige for trusselsdetektionsværktøjer. "I typiske scenarier er det malware, der gør hookingen. Men det er det modsatte i dette tilfælde,” sagde Trend Micro.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-threat-actor-using-peculiar-malware-to-hide-malicious-activities