Attore minaccioso legato alla Cina si nasconde tramite malware "particolare".

I ricercatori hanno individuato Earth Freybug, un attore di minacce legato alla Cina, che utilizza un nuovo strumento malware per aggirare i meccanismi che le organizzazioni potrebbero aver messo in atto per monitorare le interfacce di programmazione delle applicazioni (API) di Windows per attività dannose.

Il malware, che i ricercatori di Trend Micro hanno scoperto e chiamato UNAPIMON, funziona disabilitando gli hook nelle API di Windows per ispezionare e analizzare i processi relativi alle API per problemi di sicurezza.

API di sgancio

L'obiettivo è impedire che qualsiasi processo generato dal malware venga rilevato o ispezionato da strumenti antivirus, prodotti sandboxing e altri meccanismi di rilevamento delle minacce.

"Osservando il comportamento di UNAPIMON e il modo in cui è stato utilizzato nell'attacco, possiamo dedurre che il suo scopo principale è quello di sganciare le funzioni API critiche in qualsiasi processo figlio", Trend Micro ha detto in un rapporto questa settimana.

"Per gli ambienti che implementano il monitoraggio delle API tramite hooking, come i sistemi sandboxing, UNAPIMON impedirà il monitoraggio dei processi secondari", ha affermato il fornitore di sicurezza. Ciò consente ai programmi dannosi di essere eseguiti senza essere rilevati.

Trend Micro ha valutato Earth Freybug come un sottoinsieme di APT41, un collettivo di gruppi di minacce cinesi variamente denominati Winnti, Wicked Panda, Barium e Suckfly. Il gruppo è noto per l'utilizzo di una raccolta di strumenti personalizzati e dei cosiddetti file binari living-off-the-land (LOLbins) che manipolano file binari di sistema legittimi come PowerShell e Strumentazione gestione Windows (WMI).

Lo stesso APT41 è attivo almeno dal 2012 ed è collegato a numerose campagne di spionaggio informatico, attacchi alla catena di fornitura e criminalità informatica a sfondo finanziario. Nel 2022, i ricercatori di Cybereason hanno identificato l’autore della minaccia come rubare grandi volumi di segreti commerciali e proprietà intellettuale da aziende negli Stati Uniti e in Asia per anni. Le sue vittime includono organizzazioni manifatturiere e IT, governie infrastrutture critiche obiettivi negli Stati Uniti, nell’Asia orientale e in Europa. Nel 2020, il governo degli Stati Uniti accusato cinque membri ritenuti associati al gruppo per il loro ruolo negli attacchi contro più di 100 organizzazioni a livello globale.

Catena d'attacco

Nel recente incidente osservato da Trend Micro, gli attori di Earth Freybug hanno utilizzato un approccio in più fasi per fornire UNAPIMON sui sistemi target. Nella prima fase, gli aggressori hanno inserito codice dannoso di origine sconosciuta in vmstools.exe, un processo associato a una serie di utilità per facilitare la comunicazione tra una macchina virtuale ospite e la macchina host sottostante. Il codice dannoso ha creato un'attività pianificata sul computer host per eseguire un file di script batch (cc.bat) sul sistema host.

Il compito del file batch è raccogliere una serie di informazioni di sistema e avviare una seconda attività pianificata per eseguire un file cc.bat sull'host infetto. Il secondo file di script batch sfrutta SessionEnv, un servizio Windows per la gestione dei servizi desktop remoti, per caricare lateralmente una libreria di collegamento dinamico (DLL) dannosa sull'host infetto. “Il secondo cc.bat è degno di nota perché sfrutta un servizio che carica una libreria inesistente per caricare lateralmente una DLL dannosa. In questo caso, il servizio è SessionEnv”, ha affermato Trend Micro.

La DLL dannosa rilascia quindi UNAPIMON sul servizio Windows per scopi di evasione della difesa e anche su un processo cmd.exe che esegue silenziosamente i comandi. “UNAPIMON in sé è semplice: è un malware DLL scritto in C++ e non è né compresso né offuscato; non è crittografato, tranne che per una singola stringa", ha affermato Trend Micro. Ciò che lo rende “particolare” è la sua tecnica di evasione di difesa che consiste nello sganciare le API in modo che i processi dannosi del malware rimangano invisibili agli strumenti di rilevamento delle minacce. “Negli scenari tipici, è il malware a creare l’hook. Tuttavia, in questo caso è il contrario”, ha affermato Trend Micro.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-threat-actor-using-peculiar-malware-to-hide-malicious-activities