Aktor Ancaman Terkait Tiongkok Bersembunyi Melalui Malware 'Aneh'

Para peneliti telah melihat Earth Freybug, aktor ancaman yang terkait dengan Tiongkok, menggunakan alat malware baru untuk melewati mekanisme yang mungkin diterapkan organisasi untuk memantau antarmuka pemrograman aplikasi (API) Windows untuk aktivitas jahat.

Malware tersebut, yang ditemukan dan diberi nama UNAPIMON oleh para peneliti di Trend Micro, bekerja dengan menonaktifkan hook di Windows API untuk memeriksa dan menganalisis proses terkait API untuk mengetahui masalah keamanan.

Melepaskan API

Tujuannya adalah untuk mencegah proses apa pun yang memunculkan malware terdeteksi atau diperiksa oleh alat antivirus, produk sandbox, dan mekanisme deteksi ancaman lainnya.

“Melihat perilaku UNAPIMON dan cara penggunaannya dalam serangan tersebut, kami dapat menyimpulkan bahwa tujuan utamanya adalah untuk melepaskan kaitan fungsi API yang penting dalam setiap proses anak,” Trend Micro mengatakan dalam sebuah laporan minggu ini.

“Untuk lingkungan yang menerapkan pemantauan API melalui hooking, seperti sistem sandboxing, UNAPIMON akan mencegah pemantauan proses anak,” kata vendor keamanan. Hal ini memungkinkan program jahat berjalan tanpa terdeteksi.

Trend Micro menilai Earth Freybug sebagai bagian dari APT41, kumpulan kelompok ancaman Tiongkok yang disebut sebagai Winnti, Wicked Panda, Barium, dan Suckfly. Grup ini dikenal menggunakan kumpulan alat khusus dan apa yang disebut binari hidup di luar negeri (LOLbins) yang memanipulasi biner sistem yang sah seperti PowerShell dan Windows Management Instrumentation (WMI).

APT41 sendiri telah aktif setidaknya sejak tahun 2012 dan dikaitkan dengan berbagai kampanye spionase dunia maya, serangan rantai pasokan, dan kejahatan dunia maya yang bermotif finansial. Pada tahun 2022, para peneliti di Cybereason mengidentifikasi pelaku ancaman sebagai mencuri sejumlah besar rahasia dagang dan kekayaan intelektual dari perusahaan-perusahaan di AS dan Asia selama bertahun-tahun. Korbannya termasuk organisasi manufaktur dan TI, pemerintah, dan infrastruktur kritis target di AS, Asia Timur, dan Eropa. Pada tahun 2020, pemerintah AS mendakwa lima anggota yang diyakini terkait dengan kelompok tersebut atas peran mereka dalam serangan terhadap lebih dari 100 organisasi di seluruh dunia.

Rantai Serangan

Dalam insiden baru-baru ini yang diamati oleh Trend Micro, pelaku Earth Freybug menggunakan pendekatan multi-tahap untuk menerapkan UNAPIMON pada sistem target. Pada tahap pertama, penyerang menyuntikkan kode berbahaya yang tidak diketahui asalnya ke vmstools.exe, sebuah proses yang terkait dengan serangkaian utilitas untuk memfasilitasi komunikasi antara mesin virtual tamu dan mesin host yang mendasarinya. Kode berbahaya membuat tugas terjadwal pada mesin host untuk menjalankan file skrip batch (cc.bat) pada sistem host.

Tugas file batch adalah mengumpulkan berbagai informasi sistem dan memulai tugas terjadwal kedua untuk menjalankan file cc.bat pada host yang terinfeksi. File skrip batch kedua memanfaatkan SessionEnv, layanan Windows untuk mengelola layanan desktop jarak jauh, untuk memuat pustaka tautan dinamis (DLL) berbahaya pada host yang terinfeksi. “Cc.bat kedua terkenal karena memanfaatkan layanan yang memuat perpustakaan yang tidak ada untuk memuat DLL berbahaya. Dalam hal ini, layanannya adalah SessionEnv,” kata Trend Micro.

DLL berbahaya kemudian menjatuhkan UNAPIMON pada layanan Windows untuk tujuan penghindaran pertahanan dan juga pada proses cmd.exe yang menjalankan perintah secara diam-diam. “UNAPIMON sendiri sangat jelas: Ini adalah malware DLL yang ditulis dalam C++ dan tidak dikemas atau dikaburkan; itu tidak dienkripsi kecuali untuk satu string,” kata Trend Micro. Apa yang membuatnya “aneh” adalah teknik penghindaran pertahanannya dengan melepas kaitan API sehingga proses jahat malware tetap tidak terlihat oleh alat pendeteksi ancaman. “Dalam skenario umum, malware-lah yang melakukan hal tersebut. Namun, yang terjadi justru sebaliknya dalam kasus ini,” kata Trend Micro.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-threat-actor-using-peculiar-malware-to-hide-malicious-activities