El actor de amenazas vinculado a China se esconde a través de un malware 'peculiar'

Los investigadores han descubierto que Earth Freybug, un actor de amenazas vinculado a China, utiliza una nueva herramienta de malware para eludir los mecanismos que las organizaciones podrían haber implementado para monitorear las interfaces de programación de aplicaciones (API) de Windows en busca de actividad maliciosa.

El malware, que los investigadores de Trend Micro descubrieron y denominaron UNAPIMON, funciona deshabilitando los enlaces en las API de Windows para inspeccionar y analizar procesos relacionados con las API en busca de problemas de seguridad.

Desconexión de API

El objetivo es evitar que cualquier proceso que genere el malware sea detectado o inspeccionado por herramientas antivirus, productos de espacio aislado y otros mecanismos de detección de amenazas.

"Al observar el comportamiento de UNAPIMON y cómo se utilizó en el ataque, podemos inferir que su objetivo principal es desenganchar funciones API críticas en cualquier proceso hijo". Trend Micro dijo en un informe esta semana.

"Para los entornos que implementan el monitoreo de API a través de enlaces, como los sistemas de espacio aislado, UNAPIMON evitará que los procesos secundarios sean monitoreados", dijo el proveedor de seguridad. Esto permite que se ejecuten programas maliciosos sin ser detectados.

Trend Micro evaluó a Earth Freybug como un subconjunto de APT41, un colectivo de grupos de amenazas chinos conocidos como Winnti, Wicked Panda, Barium y Suckfly. El grupo es conocido por utilizar una colección de herramientas personalizadas y los llamados binarios que viven de la tierra (LOLbins) que manipulan binarios legítimos del sistema, como PowerShell y Windows Management Instrumentation (WMI).

El propio APT41 ha estado activo desde al menos 2012 y está vinculado a numerosas campañas de ciberespionaje, ataques a la cadena de suministro y delitos cibernéticos con motivación financiera. En 2022, los investigadores de Cybereason identificaron al actor de amenazas como Robar grandes volúmenes de secretos comerciales y propiedad intelectual. de empresas de EE. UU. y Asia durante años. Entre sus víctimas se encuentran organizaciones manufactureras y de TI, gobiernosy infraestructura crítica objetivos en Estados Unidos, Asia Oriental y Europa. En 2020, el gobierno de EE. UU. acusó a cinco miembros que se cree que estaban asociados con el grupo por su papel en ataques contra más de 100 organizaciones en todo el mundo.

Cadena de ataque

En el incidente reciente que Trend Micro observó, los actores de Earth Freybug utilizaron un enfoque de varias etapas para implementar UNAPIMON en los sistemas de destino. En la primera etapa, los atacantes inyectaron código malicioso de origen desconocido en vmstools.exe, un proceso asociado con un conjunto de utilidades para facilitar las comunicaciones entre una máquina virtual invitada y la máquina host subyacente. El código malicioso creó una tarea programada en la máquina host para ejecutar un archivo de secuencia de comandos por lotes (cc.bat) en el sistema host.

La tarea del archivo por lotes es recopilar una variedad de información del sistema e iniciar una segunda tarea programada para ejecutar un archivo cc.bat en el host infectado. El segundo archivo de script por lotes aprovecha SessionEnv, un servicio de Windows para administrar servicios de escritorio remoto, para cargar una biblioteca de vínculos dinámicos (DLL) maliciosa en el host infectado. “El segundo cc.bat se destaca por aprovechar un servicio que carga una biblioteca inexistente para cargar una DLL maliciosa. En este caso, el servicio es SessionEnv”, dijo Trend Micro.

Luego, la DLL maliciosa coloca UNAPIMON en el servicio de Windows con fines de evasión de defensa y también en un proceso cmd.exe que ejecuta comandos silenciosamente. “UNAPIMON en sí es sencillo: es un malware DLL escrito en C++ y no está empaquetado ni ofuscado; no está cifrado salvo una sola cadena”, afirmó Trend Micro. Lo que lo hace "peculiar" es su técnica de evasión de defensa de desenganchar las API para que los procesos maliciosos del malware permanezcan invisibles para las herramientas de detección de amenazas. “En escenarios típicos, es el malware el que realiza el enganche. Sin embargo, en este caso es todo lo contrario”, afirmó Trend Micro.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-threat-actor-using-peculiar-malware-to-hide-malicious-activities