Kiinaan linkitetty uhkanäyttelijä piiloutuu "omituisen" haittaohjelman kautta

Tutkijat ovat havainneet Earth Freybugin, Kiinaan liittyvän uhkatekijän, joka käyttää uutta haittaohjelmatyökalua ohittaakseen mekanismit, joita organisaatiot ovat saattaneet ottaa käyttöön valvoakseen Windowsin sovellusliittymiä (API) haitallisen toiminnan varalta.

Haittaohjelma, jonka Trend Micron tutkijat löysivät ja antoi nimeksi UNAPIMON, toimii poistamalla Windowsin API-liitäntöjen koukut, joilla voidaan tarkastaa ja analysoida API-prosesseja tietoturvaongelmien varalta.

API-liittymien irrottaminen

Tavoitteena on estää haittaohjelman synnyttämiä prosesseja havaitsemasta tai tarkastamasta virustorjuntatyökaluja, hiekkalaatikkotuotteita ja muita uhkien havaitsemismekanismeja.

"Tarkastelemalla UNAPIMONin käyttäytymistä ja sitä, miten sitä käytettiin hyökkäyksessä, voimme päätellä, että sen ensisijainen tarkoitus on irrottaa kriittiset API-toiminnot missä tahansa lapsiprosessissa." Trend Micro sanoi raportissa tällä viikolla.

"Ympäristöissä, jotka toteuttavat API-valvontaa koukkien avulla, kuten hiekkalaatikkojärjestelmät, UNAPIMON estää lapsiprosessien valvonnan", tietoturvatoimittaja sanoi. Tämä mahdollistaa haittaohjelmien suorittamisen ilman, että niitä havaitaan.

Trend Micro arvioi Earth Freybugin osaksi APT41:tä, kiinalaisten uhkaryhmien kollektiivia, joita kutsutaan eri nimillä Winnti, Wicked Panda, Barium ja Suckfly. Ryhmä tunnetaan käyttävänsä kokoelmaa mukautettuja työkaluja ja niin kutsuttuja live-off-the-land-binaareja (LOLbins), jotka manipuloivat laillisia järjestelmäbinaareja, kuten PowerShell ja Windows Management Instrumentation (WMI).

Itse APT41 on ollut aktiivinen ainakin vuodesta 2012 lähtien, ja se on liitetty lukuisiin kybervakoilukampanjoihin, toimitusketjuhyökkäyksiin ja taloudellisesti motivoituun kyberrikollisuuteen. Vuonna 2022 Cybereasonin tutkijat tunnistivat uhkatekijäksi varastaa suuria määriä liikesalaisuuksia ja henkistä omaisuutta yhdysvaltalaisilta ja aasialaisilta yrityksiltä vuosia. Sen uhreina ovat olleet valmistus- ja IT-organisaatiot, hallituksetja kriittisen infrastruktuurin kohteisiin Yhdysvalloissa, Itä-Aasiassa ja Euroopassa. Vuonna 2020 Yhdysvaltain hallitus syytettiin viittä jäsentä, joiden uskottiin liittyvän ryhmään roolistaan ​​hyökkäyksissä yli 100 organisaatiota vastaan ​​maailmanlaajuisesti.

Hyökkäysketju

Äskettäisessä Trend Micron havaitsemassa tapahtumassa Earth Freybug -toimijat käyttivät monivaiheista lähestymistapaa UNAPIMONin toimittamiseen kohdejärjestelmiin. Ensimmäisessä vaiheessa hyökkääjät lisäsivät tuntematonta alkuperää olevaa haittakoodia vmstools.exe-tiedostoon, prosessiin, joka liittyy apuohjelmiin, jotka helpottavat viestintää vierailijavirtuaalikoneen ja taustalla olevan isäntäkoneen välillä. Haitallinen koodi loi isäntäkoneeseen ajoitetun tehtävän komentosarjatiedoston (cc.bat) suorittamiseksi isäntäjärjestelmässä.

Erätiedoston tehtävänä on kerätä erilaisia ​​järjestelmätietoja ja käynnistää toinen ajoitettu tehtävä cc.bat-tiedoston suorittamiseksi tartunnan saaneessa isännässä. Toinen komentosarjatiedosto hyödyntää SessionEnv, Windows-palvelu etätyöpöytäpalvelujen hallintaan, sivulataamaan haitallisen dynaamisten linkkien kirjaston (DLL) tartunnan saaneelle isännälle. "Toinen cc.bat on huomionarvoinen hyödyntäessään palvelua, joka lataa olematon kirjasto haitallisen DLL:n sivulataamiseksi. Tässä tapauksessa palvelu on SessionEnv", Trend Micro sanoi.

Haitallinen DLL pudottaa sitten UNAPIMONin Windows-palveluun suojan kiertämistä varten ja myös cmd.exe-prosessiin, joka suorittaa komentoja hiljaa. ”UNAPIMON itsessään on suoraviivainen: Se on DLL-haittaohjelma, joka on kirjoitettu C++:lla, eikä sitä ole pakattu eikä hämärtynyt; sitä ei ole salattu yhtä merkkijonoa lukuun ottamatta", Trend Micro sanoi. Mikä tekee siitä "omituisen", on sen puolustusväistystekniikka, joka purkaa API-liitännät niin, että haittaohjelman haitalliset prosessit pysyvät näkymättömissä uhkien havaitsemistyökaluille. "Tyypillisissä skenaarioissa haittaohjelmat tarttuvat siihen. Tässä tapauksessa asia on kuitenkin päinvastoin, Trend Micro sanoi.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-threat-actor-using-peculiar-malware-to-hide-malicious-activities