بازیگر تهدید مرتبط با چین از طریق بدافزار "عجیب" پنهان می شود

محققان Earth Freybug، یک عامل تهدید مرتبط با چین را شناسایی کرده‌اند که از یک ابزار بدافزار جدید برای دور زدن مکانیسم‌هایی استفاده می‌کند که سازمان‌ها ممکن است برای نظارت بر رابط‌های برنامه‌نویسی برنامه‌های کاربردی ویندوز (API) برای فعالیت‌های مخرب ایجاد کنند.

این بدافزار که محققان Trend Micro آن را کشف و UNAPIMON نامیدند، با غیرفعال کردن قلاب‌ها در APIهای ویندوز برای بازرسی و تجزیه و تحلیل فرآیندهای مرتبط با API برای مسائل امنیتی کار می‌کند.

باز کردن APIها

هدف این است که از شناسایی یا بازرسی هر فرآیندی که بدافزار ایجاد می کند توسط ابزارهای آنتی ویروس، محصولات sandboxing و سایر مکانیسم های تشخیص تهدید جلوگیری شود.

با نگاهی به رفتار UNAPIMON و نحوه استفاده از آن در حمله، می‌توانیم نتیجه بگیریم که هدف اصلی آن باز کردن توابع مهم API در هر فرآیند فرزند است. Trend Micro در گزارشی در این هفته گفت.

فروشنده امنیتی گفت: "برای محیط هایی که نظارت API را از طریق Hooking اجرا می کنند، مانند سیستم های sandboxing، UNAPIMON از نظارت بر فرآیندهای فرزند جلوگیری می کند." این اجازه می دهد تا برنامه های مخرب بدون شناسایی اجرا شوند.

Trend Micro Earth Freybug را زیرمجموعه ای از APT41 ارزیابی کرد، مجموعه ای از گروه های تهدید چینی که با نام های Winnti، Wicked Panda، Barium و Suckfly شناخته می شوند. این گروه به دلیل استفاده از مجموعه ای از ابزارهای سفارشی و به اصطلاح باینری های زنده خارج از زمین (LOLbins) که باینری های قانونی سیستم مانند PowerShell و Windows Management Instrumentation (WMI) را دستکاری می کنند، شناخته شده است.

خود APT41 حداقل از سال 2012 فعال بوده است و با کمپین های جاسوسی سایبری متعدد، حملات زنجیره تامین و جرایم سایبری با انگیزه مالی مرتبط است. در سال 2022، محققان Cybereason عامل تهدید را شناسایی کردند سرقت حجم زیادی از اسرار تجاری و مالکیت معنوی سال ها از شرکت هایی در ایالات متحده و آسیا. قربانیان آن شامل سازمان های تولیدی و فناوری اطلاعات هستند. دولت هاو زیرساخت های حیاتی اهداف در ایالات متحده، شرق آسیا و اروپا. در سال 2020، دولت ایالات متحده پنج عضو را که گمان می رود با این گروه مرتبط هستند متهم کرد به دلیل نقش آنها در حملات علیه بیش از 100 سازمان در سطح جهان.

زنجیره حمله

در حادثه اخیری که Trend Micro مشاهده کرد، بازیگران Earth Freybug از رویکرد چند مرحله‌ای برای ارائه UNAPIMON بر روی سیستم‌های هدف استفاده کردند. در مرحله اول، مهاجمان کد مخرب با منشا ناشناخته را به vmstools.exe تزریق کردند، فرآیندی که با مجموعه‌ای از ابزارهای کمکی برای تسهیل ارتباطات بین ماشین مجازی مهمان و ماشین میزبان زیربنایی مرتبط است. کد مخرب یک کار زمان‌بندی شده در دستگاه میزبان ایجاد کرد تا یک فایل اسکریپت دسته‌ای (cc.bat) را در سیستم میزبان اجرا کند.

وظیفه فایل دسته جمع آوری طیف وسیعی از اطلاعات سیستم و اجرای دومین کار برنامه ریزی شده برای اجرای فایل cc.bat بر روی میزبان آلوده است. دومین فایل اسکریپت دسته ای از SessionEnv، یک سرویس ویندوز برای مدیریت خدمات دسکتاپ راه دور، برای بارگذاری جانبی یک کتابخانه پیوند پویا مخرب (DLL) روی میزبان آلوده استفاده می کند. دومین cc.bat به دلیل استفاده از سرویسی که یک کتابخانه موجود را برای بارگذاری جانبی یک DLL مخرب بارگیری می کند، قابل توجه است. در این مورد، سرویس SessionEnv است،” Trend Micro گفت.

سپس DLL مخرب UNAPIMON را برای اهداف فرار از دفاع و همچنین در فرآیند cmd.exe که دستورات را بی سر و صدا اجرا می کند، روی سرویس ویندوز قرار می دهد. "UNAPIMON خود ساده است: این یک بدافزار DLL است که در C++ نوشته شده است و نه بسته بندی شده و نه مبهم است. Trend Micro گفت که فقط برای یک رشته رمزگذاری نشده است. چیزی که آن را "عجیب" می کند، تکنیک فرار دفاعی آن برای باز کردن API ها است به طوری که فرآیندهای مخرب بدافزار برای ابزارهای تشخیص تهدید نامرئی باقی می مانند. «در سناریوهای معمولی، این بدافزار است که کار را انجام می دهد. با این حال، در این مورد برعکس است،” Trend Micro گفت.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-threat-actor-using-peculiar-malware-to-hide-malicious-activities