محققان Earth Freybug، یک عامل تهدید مرتبط با چین را شناسایی کردهاند که از یک ابزار بدافزار جدید برای دور زدن مکانیسمهایی استفاده میکند که سازمانها ممکن است برای نظارت بر رابطهای برنامهنویسی برنامههای کاربردی ویندوز (API) برای فعالیتهای مخرب ایجاد کنند.
این بدافزار که محققان Trend Micro آن را کشف و UNAPIMON نامیدند، با غیرفعال کردن قلابها در APIهای ویندوز برای بازرسی و تجزیه و تحلیل فرآیندهای مرتبط با API برای مسائل امنیتی کار میکند.
باز کردن APIها
هدف این است که از شناسایی یا بازرسی هر فرآیندی که بدافزار ایجاد می کند توسط ابزارهای آنتی ویروس، محصولات sandboxing و سایر مکانیسم های تشخیص تهدید جلوگیری شود.
با نگاهی به رفتار UNAPIMON و نحوه استفاده از آن در حمله، میتوانیم نتیجه بگیریم که هدف اصلی آن باز کردن توابع مهم API در هر فرآیند فرزند است. Trend Micro در گزارشی در این هفته گفت.
فروشنده امنیتی گفت: "برای محیط هایی که نظارت API را از طریق Hooking اجرا می کنند، مانند سیستم های sandboxing، UNAPIMON از نظارت بر فرآیندهای فرزند جلوگیری می کند." این اجازه می دهد تا برنامه های مخرب بدون شناسایی اجرا شوند.
Trend Micro Earth Freybug را زیرمجموعه ای از APT41 ارزیابی کرد، مجموعه ای از گروه های تهدید چینی که با نام های Winnti، Wicked Panda، Barium و Suckfly شناخته می شوند. این گروه به دلیل استفاده از مجموعه ای از ابزارهای سفارشی و به اصطلاح باینری های زنده خارج از زمین (LOLbins) که باینری های قانونی سیستم مانند PowerShell و Windows Management Instrumentation (WMI) را دستکاری می کنند، شناخته شده است.
خود APT41 حداقل از سال 2012 فعال بوده است و با کمپین های جاسوسی سایبری متعدد، حملات زنجیره تامین و جرایم سایبری با انگیزه مالی مرتبط است. در سال 2022، محققان Cybereason عامل تهدید را شناسایی کردند سرقت حجم زیادی از اسرار تجاری و مالکیت معنوی سال ها از شرکت هایی در ایالات متحده و آسیا. قربانیان آن شامل سازمان های تولیدی و فناوری اطلاعات هستند. دولت هاو زیرساخت های حیاتی اهداف در ایالات متحده، شرق آسیا و اروپا. در سال 2020، دولت ایالات متحده پنج عضو را که گمان می رود با این گروه مرتبط هستند متهم کرد به دلیل نقش آنها در حملات علیه بیش از 100 سازمان در سطح جهان.
زنجیره حمله
در حادثه اخیری که Trend Micro مشاهده کرد، بازیگران Earth Freybug از رویکرد چند مرحلهای برای ارائه UNAPIMON بر روی سیستمهای هدف استفاده کردند. در مرحله اول، مهاجمان کد مخرب با منشا ناشناخته را به vmstools.exe تزریق کردند، فرآیندی که با مجموعهای از ابزارهای کمکی برای تسهیل ارتباطات بین ماشین مجازی مهمان و ماشین میزبان زیربنایی مرتبط است. کد مخرب یک کار زمانبندی شده در دستگاه میزبان ایجاد کرد تا یک فایل اسکریپت دستهای (cc.bat) را در سیستم میزبان اجرا کند.
وظیفه فایل دسته جمع آوری طیف وسیعی از اطلاعات سیستم و اجرای دومین کار برنامه ریزی شده برای اجرای فایل cc.bat بر روی میزبان آلوده است. دومین فایل اسکریپت دسته ای از SessionEnv، یک سرویس ویندوز برای مدیریت خدمات دسکتاپ راه دور، برای بارگذاری جانبی یک کتابخانه پیوند پویا مخرب (DLL) روی میزبان آلوده استفاده می کند. دومین cc.bat به دلیل استفاده از سرویسی که یک کتابخانه موجود را برای بارگذاری جانبی یک DLL مخرب بارگیری می کند، قابل توجه است. در این مورد، سرویس SessionEnv است،” Trend Micro گفت.
سپس DLL مخرب UNAPIMON را برای اهداف فرار از دفاع و همچنین در فرآیند cmd.exe که دستورات را بی سر و صدا اجرا می کند، روی سرویس ویندوز قرار می دهد. "UNAPIMON خود ساده است: این یک بدافزار DLL است که در C++ نوشته شده است و نه بسته بندی شده و نه مبهم است. Trend Micro گفت که فقط برای یک رشته رمزگذاری نشده است. چیزی که آن را "عجیب" می کند، تکنیک فرار دفاعی آن برای باز کردن API ها است به طوری که فرآیندهای مخرب بدافزار برای ابزارهای تشخیص تهدید نامرئی باقی می مانند. «در سناریوهای معمولی، این بدافزار است که کار را انجام می دهد. با این حال، در این مورد برعکس است،” Trend Micro گفت.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-threat-actor-using-peculiar-malware-to-hide-malicious-activities
- : دارد
- :است
- :نه
- 100
- 2012
- 2020
- 2022
- 7
- a
- فعال
- فعالیت
- بازیگران
- در برابر
- اجازه می دهد تا
- همچنین
- تجزیه و تحلیل
- و
- آنتی ویروس
- هر
- API
- رابط های برنامه کاربردی
- کاربرد
- روش
- AS
- آسیا
- ارزیابی
- مرتبط است
- At
- حمله
- حمله
- BAT
- BE
- بوده
- رفتار
- بودن
- اعتقاد بر این
- میان
- by
- گذرگاه
- ++C
- مبارزات
- CAN
- مورد
- زنجیر
- کودک
- چینی
- رمز
- جمع آوری
- مجموعه
- Collective - Dubai Hills Estate
- ارتباطات
- شرکت
- ایجاد شده
- بحرانی
- سفارشی
- سایبر
- جرایم اینترنتی
- دفاع
- تحویل
- دسکتاپ
- شناسایی شده
- کشف
- کشف
- میکند
- قطره
- پویا
- زمین
- شرق
- رمزگذاری
- محیط
- جاسوسی
- اروپا
- فرار از زندان
- اجرا می کند
- تسهیل کننده
- پرونده
- به لحاظ مالی
- نام خانوادگی
- پنج
- برای
- از جانب
- توابع
- در سطح جهانی
- هدف
- دولت
- گروه
- گروه ها
- مهمان
- آیا
- قلاب
- میزبان
- چگونه
- اما
- HTML
- HTTPS
- شناسایی
- انجام
- in
- حادثه
- مشمول
- عفونی
- اطلاعات
- وارد کردن
- فکری
- رابط
- به
- مخفی
- مسائل
- IT
- ITS
- خود
- JPG
- شناخته شده
- بزرگ
- کمترین
- قانونی
- اهرم ها
- بهره برداری
- کتابخانه
- ارتباط دادن
- مرتبط
- بارهای
- به دنبال
- دستگاه
- باعث می شود
- مخرب
- نرم افزارهای مخرب
- مدیریت
- مدیریت
- تولید
- مکانیسم
- اعضا
- میکرو
- قدرت
- مانیتور
- نظارت
- نظارت بر
- بیش
- انگیزه
- تحت عنوان
- نه
- جدید
- وجود ندارد
- قابل توجه
- متعدد
- of
- on
- مقابل
- or
- سازمان های
- منشاء
- دیگر
- بسته بندی شده
- عجیب و غریب
- محل
- افلاطون
- هوش داده افلاطون
- PlatoData
- PowerShell را
- جلوگیری از
- اصلی
- روند
- فرآیندهای
- محصولات
- برنامه نويسي
- برنامه ها
- هدف
- اهداف
- قرار دادن
- ملایم
- محدوده
- اخیر
- اشاره
- ماندن
- دور
- گزارش
- محققان
- نقش
- دویدن
- s
- سعید
- ذخیره
- سناریوها
- برنامه ریزی
- خط
- دوم
- اسرار
- تیم امنیت لاتاری
- سرویس
- خدمات
- تنظیم
- پس از
- تنها
- So
- صحنه
- ساده
- رشته
- چنین
- عرضه
- زنجیره تامین
- سیستم
- سیستم های
- هدف
- اهداف
- کار
- تکنیک
- نسبت به
- که
- La
- شان
- سپس
- این
- تهدید
- از طریق
- به
- ابزار
- ابزار
- تجارت
- روند
- نوعی
- اساسی
- ناشناخته
- us
- دولت ایالات متحده
- استفاده
- با استفاده از
- آب و برق
- فروشنده
- از طريق
- قربانیان
- مجازی
- ماشین مجازی
- جلد
- بود
- we
- چی
- که
- اراده
- پنجره
- با
- بدون
- با این نسخهها کار
- کتبی
- سال
- زفیرنت