A Kínához köthető fenyegetés szereplője „különös” rosszindulatú programokon keresztül rejtőzik

A kutatók észrevették, hogy az Earth Freybug, egy Kínához köthető fenyegetési szereplő, egy új kártevő-eszközt használ, hogy megkerülje azokat a mechanizmusokat, amelyeket a szervezetek a Windows alkalmazásprogramozási felületeinek (API-k) rosszindulatú tevékenységek megfigyelésére hoznak létre.

A rosszindulatú program, amelyet a Trend Micro kutatói fedeztek fel, és amelyet UNAPIMON-nak neveztek el, úgy működik, hogy letiltja a Windows API-k akasztóit az API-val kapcsolatos folyamatok biztonsági problémák miatti vizsgálatára és elemzésére.

API-k leválasztása

A cél annak megakadályozása, hogy a rosszindulatú program által létrehozott folyamatokat víruskereső eszközök, sandbox termékek és egyéb fenyegetésészlelő mechanizmusok észleljék vagy ellenőrizzék.

"Ha megvizsgáljuk az UNAPIMON viselkedését és a támadásban való felhasználását, arra következtethetünk, hogy elsődleges célja a kritikus API-funkciók lekapcsolása bármely gyermekfolyamatban." – mondta a Trend Micro egy e heti jelentésében.

„Az API-felügyeletet hooking révén megvalósító környezetekben, például a sandbox-rendszerekben, az UNAPIMON megakadályozza az utódfolyamatok figyelését” – mondta a biztonsági gyártó. Ez lehetővé teszi a rosszindulatú programok észlelés nélküli futtatását.

A Trend Micro az Earth Freybug-ot az APT41 részhalmazaként értékelte, amely a Winnti, Wicked Panda, Barium és Suckfly néven emlegetett kínai fenyegetéscsoportok kollektívája. A csoport arról ismert, hogy egyéni eszközök gyűjteményét és úgynevezett élő-off-the-land bináris fájlokat (LOLbins) használ, amelyek manipulálják az olyan legitim rendszerbináris fájlokat, mint a PowerShell és a Windows Management Instrumentation (WMI).

Maga az APT41 legalább 2012 óta aktív, és számos kiberkémkampányhoz, ellátási lánc támadáshoz és pénzügyileg motivált kiberbűnözéshez kapcsolódik. A Cybereason kutatói 2022-ben azonosították a fenyegetés szereplőjét nagy mennyiségű üzleti titkot és szellemi tulajdont lopnak el az amerikai és ázsiai cégektől évek óta. Áldozatai között gyártó- és informatikai szervezetek, kormányokés a kritikus infrastruktúra célpontok az Egyesült Államokban, Kelet-Ázsiában és Európában. 2020-ban az Egyesült Államok kormánya öt olyan tagot vádoltak, akikről feltételezték, hogy kapcsolatban állnak a csoporttal világszerte több mint 100 szervezet elleni támadásokban játszott szerepükért.

Támadási lánc

A Trend Micro által megfigyelt közelmúltbeli incidensben az Earth Freybug szereplői többlépcsős megközelítést alkalmaztak az UNAPIMON célrendszereken történő szállítására. Az első szakaszban a támadók ismeretlen eredetű rosszindulatú kódot fecskendeztek be a vmstools.exe fájlba, amely folyamat egy sor segédprogramhoz kapcsolódik, amelyek megkönnyítik a kommunikációt a vendég virtuális gép és az alapul szolgáló gazdagép között. A rosszindulatú kód ütemezett feladatot hozott létre a gazdagépen egy kötegelt parancsfájl (cc.bat) futtatásához a gazdagépen.

A kötegfájl feladata egy sor rendszerinformáció összegyűjtése és egy második ütemezett feladat elindítása a cc.bat fájl futtatásához a fertőzött gazdagépen. A második kötegelt parancsfájl a SessionEnv-t, a távoli asztali szolgáltatásokat kezelő Windows-szolgáltatást használja fel egy rosszindulatú dinamikus hivatkozási könyvtár (DLL) oldalirányú betöltésére a fertőzött gazdagépen. „A második cc.bat arról nevezetes, hogy kihasználja azt a szolgáltatást, amely egy nem létező könyvtárat tölt be egy rosszindulatú DLL oldalirányú betöltésére. Ebben az esetben a szolgáltatás a SessionEnv” – mondta a Trend Micro.

A rosszindulatú DLL ezután eldobja az UNAPIMON-t a Windows szolgáltatáson védelmi kijátszási célból, valamint egy cmd.exe folyamaton, amely csendesen hajtja végre a parancsokat. „Maga az UNAPIMON egyszerű: ez egy C++ nyelven írt DLL kártevő, és nincs sem csomagolva, sem elhomályosítva; egyetlen karakterlánc kivételével nincs titkosítva” – mondta a Trend Micro. Ami „sajátossá” teszi, az a védelmi kijátszási technikája, amellyel lekapcsolja az API-kat, így a kártevő rosszindulatú folyamatai láthatatlanok maradnak a fenyegetésészlelő eszközök számára. „Tipikus forgatókönyvekben a rosszindulatú program az, amelyik behálózza. Ebben az esetben azonban ennek az ellenkezője történik” – mondta a Trend Micro.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-threat-actor-using-peculiar-malware-to-hide-malicious-activities