A kutatók észrevették, hogy az Earth Freybug, egy Kínához köthető fenyegetési szereplő, egy új kártevő-eszközt használ, hogy megkerülje azokat a mechanizmusokat, amelyeket a szervezetek a Windows alkalmazásprogramozási felületeinek (API-k) rosszindulatú tevékenységek megfigyelésére hoznak létre.
A rosszindulatú program, amelyet a Trend Micro kutatói fedeztek fel, és amelyet UNAPIMON-nak neveztek el, úgy működik, hogy letiltja a Windows API-k akasztóit az API-val kapcsolatos folyamatok biztonsági problémák miatti vizsgálatára és elemzésére.
API-k leválasztása
A cél annak megakadályozása, hogy a rosszindulatú program által létrehozott folyamatokat víruskereső eszközök, sandbox termékek és egyéb fenyegetésészlelő mechanizmusok észleljék vagy ellenőrizzék.
"Ha megvizsgáljuk az UNAPIMON viselkedését és a támadásban való felhasználását, arra következtethetünk, hogy elsődleges célja a kritikus API-funkciók lekapcsolása bármely gyermekfolyamatban." – mondta a Trend Micro egy e heti jelentésében.
„Az API-felügyeletet hooking révén megvalósító környezetekben, például a sandbox-rendszerekben, az UNAPIMON megakadályozza az utódfolyamatok figyelését” – mondta a biztonsági gyártó. Ez lehetővé teszi a rosszindulatú programok észlelés nélküli futtatását.
A Trend Micro az Earth Freybug-ot az APT41 részhalmazaként értékelte, amely a Winnti, Wicked Panda, Barium és Suckfly néven emlegetett kínai fenyegetéscsoportok kollektívája. A csoport arról ismert, hogy egyéni eszközök gyűjteményét és úgynevezett élő-off-the-land bináris fájlokat (LOLbins) használ, amelyek manipulálják az olyan legitim rendszerbináris fájlokat, mint a PowerShell és a Windows Management Instrumentation (WMI).
Maga az APT41 legalább 2012 óta aktív, és számos kiberkémkampányhoz, ellátási lánc támadáshoz és pénzügyileg motivált kiberbűnözéshez kapcsolódik. A Cybereason kutatói 2022-ben azonosították a fenyegetés szereplőjét nagy mennyiségű üzleti titkot és szellemi tulajdont lopnak el az amerikai és ázsiai cégektől évek óta. Áldozatai között gyártó- és informatikai szervezetek, kormányokés a kritikus infrastruktúra célpontok az Egyesült Államokban, Kelet-Ázsiában és Európában. 2020-ban az Egyesült Államok kormánya öt olyan tagot vádoltak, akikről feltételezték, hogy kapcsolatban állnak a csoporttal világszerte több mint 100 szervezet elleni támadásokban játszott szerepükért.
Támadási lánc
A Trend Micro által megfigyelt közelmúltbeli incidensben az Earth Freybug szereplői többlépcsős megközelítést alkalmaztak az UNAPIMON célrendszereken történő szállítására. Az első szakaszban a támadók ismeretlen eredetű rosszindulatú kódot fecskendeztek be a vmstools.exe fájlba, amely folyamat egy sor segédprogramhoz kapcsolódik, amelyek megkönnyítik a kommunikációt a vendég virtuális gép és az alapul szolgáló gazdagép között. A rosszindulatú kód ütemezett feladatot hozott létre a gazdagépen egy kötegelt parancsfájl (cc.bat) futtatásához a gazdagépen.
A kötegfájl feladata egy sor rendszerinformáció összegyűjtése és egy második ütemezett feladat elindítása a cc.bat fájl futtatásához a fertőzött gazdagépen. A második kötegelt parancsfájl a SessionEnv-t, a távoli asztali szolgáltatásokat kezelő Windows-szolgáltatást használja fel egy rosszindulatú dinamikus hivatkozási könyvtár (DLL) oldalirányú betöltésére a fertőzött gazdagépen. „A második cc.bat arról nevezetes, hogy kihasználja azt a szolgáltatást, amely egy nem létező könyvtárat tölt be egy rosszindulatú DLL oldalirányú betöltésére. Ebben az esetben a szolgáltatás a SessionEnv” – mondta a Trend Micro.
A rosszindulatú DLL ezután eldobja az UNAPIMON-t a Windows szolgáltatáson védelmi kijátszási célból, valamint egy cmd.exe folyamaton, amely csendesen hajtja végre a parancsokat. „Maga az UNAPIMON egyszerű: ez egy C++ nyelven írt DLL kártevő, és nincs sem csomagolva, sem elhomályosítva; egyetlen karakterlánc kivételével nincs titkosítva” – mondta a Trend Micro. Ami „sajátossá” teszi, az a védelmi kijátszási technikája, amellyel lekapcsolja az API-kat, így a kártevő rosszindulatú folyamatai láthatatlanok maradnak a fenyegetésészlelő eszközök számára. „Tipikus forgatókönyvekben a rosszindulatú program az, amelyik behálózza. Ebben az esetben azonban ennek az ellenkezője történik” – mondta a Trend Micro.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-threat-actor-using-peculiar-malware-to-hide-malicious-activities
- :van
- :is
- :nem
- 100
- 2012
- 2020
- 2022
- 7
- a
- aktív
- tevékenység
- szereplők
- ellen
- lehetővé teszi, hogy
- Is
- elemzése
- és a
- víruskereső
- bármilyen
- api
- API-k
- Alkalmazás
- megközelítés
- AS
- Ázsia
- értékelni
- társult
- At
- támadás
- Támadások
- BAT
- BE
- óta
- viselkedés
- hogy
- úgy
- között
- by
- kitérő
- C + +
- Kampányok
- TUD
- eset
- lánc
- gyermek
- kínai
- kód
- gyűjt
- gyűjtemény
- Kollektív
- távközlés
- Companies
- készítette
- kritikai
- szokás
- cyber
- a számítógépes bűnözés
- Védelem
- átadó
- asztali
- észlelt
- Érzékelés
- felfedezett
- nem
- cseppek
- dinamikus
- föld
- Keleti
- titkosított
- környezetek
- kémkedés
- Európa
- adócsalás
- végrehajtja
- megkönnyítését
- filé
- pénzügyileg
- vezetéknév
- öt
- A
- ból ből
- funkciók
- globálisan
- cél
- Kormány
- Csoport
- Csoportok
- Vendég
- Legyen
- horgok
- vendéglátó
- Hogyan
- azonban
- HTML
- HTTPS
- azonosított
- végre
- in
- incidens
- beleértve
- fertőzött
- információ
- kezdeményez
- szellemi
- interfészek
- bele
- láthatatlan
- kérdések
- IT
- ITS
- maga
- jpg
- ismert
- nagy
- legkevésbé
- jogos
- kihasználja
- erőfölény
- könyvtár
- LINK
- összekapcsolt
- terhelések
- keres
- gép
- KÉSZÍT
- rosszindulatú
- malware
- vezetés
- kezelése
- gyártási
- mechanizmusok
- Partnerek
- mikro
- esetleg
- monitor
- ellenőrizni
- ellenőrzés
- több
- motivált
- Nevezett
- Se
- Új
- nem létező
- figyelemre méltó
- számos
- of
- on
- szemben
- or
- szervezetek
- származás
- Más
- csomagolt
- különös
- Hely
- Plató
- Platón adatintelligencia
- PlatoData
- PowerShell
- megakadályozása
- elsődleges
- folyamat
- Folyamatok
- Termékek
- Programozás
- Programok
- cél
- célokra
- tesz
- csendesen
- hatótávolság
- új
- említett
- marad
- távoli
- jelentést
- kutatók
- Szerep
- futás
- s
- Mondott
- Megtakarítás
- forgatókönyvek
- tervezett
- forgatókönyv
- Második
- titkok
- biztonság
- szolgáltatás
- Szolgáltatások
- készlet
- óta
- egyetlen
- So
- Színpad
- egyértelmű
- Húr
- ilyen
- kínálat
- ellátási lánc
- rendszer
- Systems
- cél
- célok
- Feladat
- technika
- mint
- hogy
- A
- azok
- akkor
- ezt
- fenyegetés
- Keresztül
- nak nek
- szerszám
- szerszámok
- kereskedelem
- tendencia
- tipikus
- mögöttes
- ismeretlen
- us
- minket kormány
- használt
- segítségével
- segédprogramok
- eladó
- keresztül
- áldozatok
- Tényleges
- virtuális gép
- kötetek
- volt
- we
- Mit
- ami
- lesz
- ablakok
- val vel
- nélkül
- művek
- írott
- év
- zephyrnet