Forscher haben entdeckt, dass Earth Freybug, ein mit China verbundener Bedrohungsakteur, ein neues Malware-Tool verwendet, um Mechanismen zu umgehen, die Unternehmen möglicherweise eingerichtet haben, um Windows-APIs (Application Programming Interfaces) auf bösartige Aktivitäten zu überwachen.
Die Malware, die Forscher von Trend Micro entdeckt und UNAPIMON genannt haben, funktioniert durch das Deaktivieren von Hooks in Windows-APIs, um API-bezogene Prozesse auf Sicherheitsprobleme zu überprüfen und zu analysieren.
APIs aushängen
Das Ziel besteht darin, zu verhindern, dass von der Malware erzeugte Prozesse von Antiviren-Tools, Sandboxing-Produkten und anderen Bedrohungserkennungsmechanismen erkannt oder überprüft werden.
„Wenn wir uns das Verhalten von UNAPIMON und seine Verwendung bei dem Angriff ansehen, können wir schließen, dass sein Hauptzweck darin besteht, kritische API-Funktionen in jedem untergeordneten Prozess zu entkoppeln.“ Das sagte Trend Micro diese Woche in einem Bericht.
„In Umgebungen, die die API-Überwachung durch Hooking implementieren, wie zum Beispiel Sandbox-Systeme, verhindert UNAPIMON die Überwachung untergeordneter Prozesse“, sagte der Sicherheitsanbieter. Dadurch können Schadprogramme ausgeführt werden, ohne dass sie erkannt werden.
Trend Micro bewertete Earth Freybug als eine Untergruppe von APT41, einem Kollektiv chinesischer Bedrohungsgruppen, die auch als Winnti, Wicked Panda, Barium und Suckfly bezeichnet werden. Die Gruppe ist dafür bekannt, eine Sammlung benutzerdefinierter Tools und sogenannte Living-Off-the-Land-Binärdateien (LOLbins) zu verwenden, die legitime Systembinärdateien wie PowerShell und Windows Management Instrumentation (WMI) manipulieren.
APT41 selbst ist seit mindestens 2012 aktiv und wird mit zahlreichen Cyberspionagekampagnen, Lieferkettenangriffen und finanziell motivierter Cyberkriminalität in Verbindung gebracht. Im Jahr 2022 identifizierten Forscher von Cybereason den Bedrohungsakteur Diebstahl großer Mengen an Geschäftsgeheimnissen und geistigem Eigentum von Unternehmen in den USA und Asien seit Jahren. Zu den Opfern zählen Fertigungs- und IT-Organisationen, Regierungen und kritische Infrastruktur Ziele in den USA, Ostasien und Europa. Im Jahr 2020 wird die US-Regierung Angeklagt wurden fünf Mitglieder, von denen angenommen wird, dass sie mit der Gruppe in Verbindung stehen für ihre Rolle bei Angriffen auf mehr als 100 Organisationen weltweit.
Angriffskette
Bei dem jüngsten Vorfall, den Trend Micro beobachtete, nutzten Earth Freybug-Akteure einen mehrstufigen Ansatz, um UNAPIMON auf Zielsystemen bereitzustellen. In der ersten Phase haben die Angreifer Schadcode unbekannter Herkunft in vmstools.exe eingeschleust, einen Prozess, der mit einer Reihe von Dienstprogrammen zur Erleichterung der Kommunikation zwischen einer virtuellen Gastmaschine und der zugrunde liegenden Hostmaschine verknüpft ist. Der Schadcode hat auf dem Host-Computer eine geplante Aufgabe erstellt, um eine Batch-Skriptdatei (cc.bat) auf dem Host-System auszuführen.
Die Aufgabe der Batchdatei besteht darin, eine Reihe von Systeminformationen zu sammeln und eine zweite geplante Aufgabe zu starten, um eine cc.bat-Datei auf dem infizierten Host auszuführen. Die zweite Batch-Skriptdatei nutzt SessionEnv, einen Windows-Dienst zur Verwaltung von Remote-Desktop-Diensten, um eine schädliche Dynamic Link Library (DLL) auf den infizierten Host zu laden. „Das zweite cc.bat zeichnet sich dadurch aus, dass es einen Dienst nutzt, der eine nicht vorhandene Bibliothek lädt, um eine schädliche DLL seitlich zu laden. In diesem Fall ist der Dienst SessionEnv“, sagte Trend Micro.
Die bösartige DLL legt UNAPIMON dann zum Zweck der Umgehung der Verteidigung auf dem Windows-Dienst ab und auch auf einem cmd.exe-Prozess, der stillschweigend Befehle ausführt. „UNAPIMON selbst ist unkompliziert: Es handelt sich um eine in C++ geschriebene DLL-Malware, die weder gepackt noch verschleiert ist; Es ist bis auf eine einzelne Zeichenfolge nicht verschlüsselt“, sagte Trend Micro. Was es „besonders“ macht, ist seine Verteidigungs-Umgehungstechnik, bei der APIs entkoppelt werden, sodass die bösartigen Prozesse der Malware für Bedrohungserkennungstools unsichtbar bleiben. „In typischen Szenarien ist es die Malware, die das Hooking übernimmt. In diesem Fall ist jedoch das Gegenteil der Fall“, sagte Trend Micro.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-threat-actor-using-peculiar-malware-to-hide-malicious-activities
- :hast
- :Ist
- :nicht
- 100
- 2012
- 2020
- 2022
- 7
- a
- aktiv
- Aktivität
- Akteure
- gegen
- erlaubt
- ebenfalls
- Analyse
- und
- Antivirus
- jedem
- Bienen
- APIs
- Anwendung
- Ansatz
- AS
- Asien
- bewertet
- damit verbundenen
- At
- Attacke
- Anschläge
- BAT
- BE
- war
- Verhalten
- Sein
- angenommen
- zwischen
- by
- umgehen
- C + +
- Kampagnen
- CAN
- Häuser
- Kette
- der
- chinesisch
- Code
- sammeln
- Sammlung
- Collective
- Kommunikation
- Unternehmen
- erstellt
- kritischem
- Original
- Cyber-
- Cyber-Kriminalität
- Militär
- liefern
- Desktop
- erkannt
- Entdeckung
- entdeckt
- die
- Drops
- dynamisch
- Erde
- Osten
- verschlüsselt
- Umgebungen
- Spionage
- Europa
- Ausweichen
- Führt aus
- erleichtern
- Reichen Sie das
- finanziell
- Vorname
- fünf
- Aussichten für
- für
- Funktionen
- Global
- Kundenziele
- der Regierung
- Gruppe an
- Gruppen
- GUEST
- Haben
- Haken
- Gastgeber
- Ultraschall
- aber
- HTML
- HTTPS
- identifiziert
- implementieren
- in
- Zwischenfall
- inklusive
- entzündet
- Information
- initiieren
- geistigen
- Schnittstellen
- in
- unsichtbar
- Probleme
- IT
- SEINE
- selbst
- jpg
- bekannt
- grosse
- am wenigsten
- legitim
- Hebelwirkungen
- Nutzung
- Bibliothek
- LINK
- verknüpft
- Belastungen
- suchen
- Maschine
- MACHT
- böswilligen
- Malware
- Management
- flächendeckende Gesundheitsprogramme
- Herstellung
- Mechanismen
- Mitglieder
- Mikrofon
- könnte
- Überwachen
- überwacht
- Überwachung
- mehr
- motiviert
- Namens
- Weder
- Neu
- nicht existent
- bemerkenswert
- und viele
- of
- on
- gegenüber
- or
- Organisationen
- Herkunft
- Andere
- verpackt
- eigenartig
- Ort
- Plato
- Datenintelligenz von Plato
- PlatoData
- Powershell
- verhindern
- primär
- Prozessdefinierung
- anpassen
- Produkte
- Programmierung
- Programme
- Zweck
- Zwecke
- setzen
- ruhig
- Angebot
- kürzlich
- bezeichnet
- bleiben
- entfernt
- berichten
- Forscher
- Rollen
- Führen Sie
- s
- Said
- Speichern
- Szenarien
- vorgesehen
- Skript
- Zweite
- Sicherheitdienst
- Lösungen
- kompensieren
- da
- Single
- So
- Stufe
- einfach
- Schnur
- so
- liefern
- Supply Chain
- System
- Systeme und Techniken
- Target
- Ziele
- Aufgabe
- Technik
- als
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- ihr
- dann
- fehlen uns die Worte.
- Bedrohung
- Durch
- zu
- Werkzeug
- Werkzeuge
- Handel
- Trend
- typisch
- zugrunde liegen,
- unbekannt
- us
- uns Regierung
- benutzt
- Verwendung von
- Dienstprogramme
- Verkäufer
- Opfer
- Assistent
- virtuellen Maschine
- Volumen
- wurde
- we
- Was
- welche
- werden wir
- Fenster
- mit
- ohne
- Werk
- geschrieben
- Jahr
- Zephyrnet
