Les chercheurs ont repéré Earth Freybug, un acteur menaçant lié à la Chine, utilisant un nouvel outil malveillant pour contourner les mécanismes que les organisations auraient pu mettre en place pour surveiller les interfaces de programmation d'applications (API) Windows à la recherche d'activités malveillantes.
Le malware, que les chercheurs de Trend Micro ont découvert et nommé UNAPIMON, fonctionne en désactivant les hooks dans les API Windows pour inspecter et analyser les processus liés aux API pour détecter des problèmes de sécurité.
Décrocher des API
L’objectif est d’empêcher que les processus générés par le malware soient détectés ou inspectés par des outils antivirus, des produits de sandboxing et d’autres mécanismes de détection des menaces.
"En regardant le comportement d'UNAPIMON et la manière dont il a été utilisé dans l'attaque, nous pouvons en déduire que son objectif principal est de décrocher les fonctions API critiques dans tout processus enfant." Trend Micro a déclaré dans un rapport cette semaine.
"Pour les environnements qui implémentent la surveillance des API via le hooking, tels que les systèmes de sandboxing, UNAPIMON empêchera la surveillance des processus enfants", a déclaré le fournisseur de sécurité. Cela permet à des programmes malveillants de s'exécuter sans être détectés.
Trend Micro a évalué Earth Freybug comme étant un sous-ensemble d'APT41, un collectif de groupes menaçants chinois appelés Winnti, Wicked Panda, Barium et Suckfly. Le groupe est connu pour utiliser une collection d'outils personnalisés et de binaires dits vivant de la terre (LOLbins) qui manipulent des binaires système légitimes tels que PowerShell et Windows Management Instrumentation (WMI).
APT41 lui-même est actif depuis au moins 2012 et est lié à de nombreuses campagnes de cyberespionnage, à des attaques contre la chaîne d'approvisionnement et à une cybercriminalité à motivation financière. En 2022, les chercheurs de Cybereason ont identifié l'acteur de la menace comme étant voler de grands volumes de secrets commerciaux et de propriété intellectuelle auprès d'entreprises aux États-Unis et en Asie depuis des années. Ses victimes incluent des organisations manufacturières et informatiques, gouvernementset une infrastructures critiques cibles aux États-Unis, en Asie de l’Est et en Europe. En 2020, le gouvernement américain inculpé cinq membres soupçonnés d'être associés au groupe pour leur rôle dans des attaques contre plus de 100 organisations dans le monde.
Chaîne d'attaque
Lors du récent incident observé par Trend Micro, les acteurs d'Earth Freybug ont utilisé une approche en plusieurs étapes pour déployer UNAPIMON sur les systèmes cibles. Dans un premier temps, les attaquants ont injecté un code malveillant d'origine inconnue dans vmstools.exe, un processus associé à un ensemble d'utilitaires permettant de faciliter les communications entre une machine virtuelle invitée et la machine hôte sous-jacente. Le code malveillant a créé une tâche planifiée sur la machine hôte pour exécuter un fichier de script batch (cc.bat) sur le système hôte.
La tâche du fichier batch consiste à collecter une série d'informations système et à lancer une deuxième tâche planifiée pour exécuter un fichier cc.bat sur l'hôte infecté. Le deuxième fichier de script batch exploite SessionEnv, un service Windows permettant de gérer les services de bureau à distance, pour charger une bibliothèque de liens dynamiques (DLL) malveillante sur l'hôte infecté. «Le deuxième cc.bat se distingue par l'exploitation d'un service qui charge une bibliothèque inexistante pour charger une DLL malveillante. Dans ce cas, le service est SessionEnv », a déclaré Trend Micro.
La DLL malveillante dépose ensuite UNAPIMON sur le service Windows à des fins d'évasion de la défense ainsi que sur un processus cmd.exe qui exécute silencieusement les commandes. « UNAPIMON en lui-même est simple : il s'agit d'un malware DLL écrit en C++ et n'est ni compressé ni obscurci ; il n'est pas crypté, à l'exception d'une seule chaîne », a déclaré Trend Micro. Ce qui le rend « particulier » est sa technique d'évasion de la défense consistant à décrocher les API afin que les processus malveillants du malware restent invisibles pour les outils de détection des menaces. « Dans les scénarios typiques, c'est le malware qui effectue le hooking. Cependant, c’est le contraire dans ce cas-ci », a déclaré Trend Micro.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-threat-actor-using-peculiar-malware-to-hide-malicious-activities
- :possède
- :est
- :ne pas
- 100
- 2012
- 2020
- 2022
- 7
- a
- infection
- activité
- acteurs
- à opposer à
- permet
- aussi
- l'analyse
- ainsi que le
- antivirus
- tous
- api
- Apis
- Application
- une approche
- AS
- Asie
- évalué
- associé
- At
- attaquer
- Attaques
- MTD
- BE
- était
- humain
- va
- cru
- jusqu'à XNUMX fois
- by
- contourner
- C + +
- Campagnes
- CAN
- maisons
- chaîne
- enfant
- chinois
- code
- recueillir
- collection
- Collective
- Communications
- Sociétés
- créée
- critique
- Customiser
- cyber
- la cybercriminalité
- Défense
- livrer
- à poser
- détecté
- Détection
- découvert
- Drops
- Dynamic
- Terre
- Est
- crypté
- environnements
- espionnage
- Europe
- évasion
- Exécute
- faciliter
- Déposez votre dernière attestation
- financièrement
- Prénom
- cinq
- Pour
- De
- fonctions
- À l'échelle mondiale
- objectif
- Gouvernement
- Réservation de groupe
- Groupes
- GUEST
- Vous avez
- Crochets
- hôte
- Comment
- Cependant
- HTML
- HTTPS
- identifié
- Mettre en oeuvre
- in
- incident
- inclus
- infecté
- d'information
- initier
- intellectuel
- interfaces
- développement
- invisible
- vous aider à faire face aux problèmes qui vous perturbent
- IT
- SES
- lui-même
- jpg
- connu
- gros
- au
- légitime
- les leviers
- en tirant parti
- Bibliothèque
- LINK
- lié
- charges
- recherchez-
- click
- FAIT DU
- malveillant
- malware
- gestion
- les gérer
- fabrication
- mécanismes
- Membres
- micro
- pourrait
- Surveiller
- surveillé
- Stack monitoring
- PLUS
- motivés
- Nommé
- Ni
- Nouveauté
- inexistant
- notable
- nombreux
- of
- on
- opposé
- or
- organisations
- origine
- Autre
- emballé
- particulier
- Place
- Platon
- Intelligence des données Platon
- PlatonDonnées
- PowerShell
- empêcher
- primaire
- processus
- les process
- Produits
- Programmation
- Programmes
- but
- des fins
- mettre
- tranquillement
- gamme
- récent
- visée
- rester
- éloigné
- rapport
- chercheurs
- Rôle
- Courir
- s
- Saïd
- Épargnez
- scénarios
- prévu
- scénario
- Deuxièmement
- secrets
- sécurité
- service
- Services
- set
- depuis
- unique
- So
- Étape
- simple
- Chaîne
- tel
- la quantité
- chaîne d'approvisionnement
- combustion propre
- Système
- Target
- objectifs
- Tâche
- technique
- que
- qui
- La
- leur
- puis
- this
- menace
- Avec
- à
- outil
- les outils
- commerce
- Trend
- débutante
- sous-jacent
- inconnu
- us
- gouvernement des États-Unis
- d'utiliser
- en utilisant
- les services publics
- vendeur
- via
- victimes
- Salle de conférence virtuelle
- machine virtuelle
- volumes
- était
- we
- Quoi
- qui
- sera
- fenêtres
- comprenant
- sans
- vos contrats
- code écrit
- années
- zéphyrnet
