Kina-tilknyttet trusselskuespiller skjuler seg via 'særlig' skadelig programvare

Forskere har sett Earth Freybug, en Kina-tilknyttet trusselaktør, som bruker et nytt skadelig programvareverktøy for å omgå mekanismer organisasjoner kan ha satt i verk for å overvåke Windows-applikasjonsprogrammeringsgrensesnitt (API) for ondsinnet aktivitet.

Skadevaren, som forskere ved Trend Micro oppdaget og kalte UNAPIMON, fungerer ved å deaktivere kroker i Windows APIer for å inspisere og analysere API-relaterte prosesser for sikkerhetsproblemer.

Koble av APIer

Målet er å forhindre at prosesser som skadelig programvare skaper, blir oppdaget eller inspisert av antivirusverktøy, sandboxing-produkter og andre trusseldeteksjonsmekanismer.

"Når vi ser på oppførselen til UNAPIMON og hvordan den ble brukt i angrepet, kan vi slutte at dens primære formål er å koble fra kritiske API-funksjoner i enhver underordnet prosess," Trend Micro sa i en rapport denne uken.

"For miljøer som implementerer API-overvåking gjennom hooking, for eksempel sandboxing-systemer, vil UNAPIMON forhindre at underordnede prosesser blir overvåket," sa sikkerhetsleverandøren. Dette lar ondsinnede programmer kjøre uten å bli oppdaget.

Trend Micro vurderte Earth Freybug som en undergruppe av APT41, et kollektiv av kinesiske trusselgrupper som på forskjellige måter refereres til som Winnti, Wicked Panda, Barium og Suckfly. Gruppen er kjent for å bruke en samling tilpassede verktøy og såkalte living-off-the-land binærfiler (LOLbins) som manipulerer legitime systembinærfiler som PowerShell og Windows Management Instrumentation (WMI).

APT41 selv har vært aktiv siden minst 2012 og er knyttet til en rekke nettspionasjekampanjer, forsyningskjedeangrep og økonomisk motivert nettkriminalitet. I 2022 identifiserte forskere ved Cybereason trusselaktøren som stjele store mengder forretningshemmeligheter og åndsverk fra selskaper i USA og Asia i årevis. Ofrene har inkludert produksjons- og IT-organisasjoner, regjeringerog kritisk infrastruktur mål i USA, Øst-Asia og Europa. I 2020, den amerikanske regjeringen siktet fem medlemmer som antas å ha tilknytning til gruppen for deres rolle i angrep mot mer enn 100 organisasjoner globalt.

Angrepskjede

I den nylige hendelsen som Trend Micro observerte, brukte Earth Freybug-aktører en flertrinns tilnærming for å levere UNAPIMON på målsystemer. I det første trinnet injiserte angriperne ondsinnet kode av ukjent opprinnelse i vmstools.exe, en prosess assosiert med et sett med verktøy for å lette kommunikasjonen mellom en virtuell gjestemaskin og den underliggende vertsmaskinen. Den ondsinnede koden opprettet en planlagt oppgave på vertsmaskinen for å kjøre en batchskriptfil (cc.bat) på vertssystemet.

Batchfilens oppgave er å samle inn en rekke systeminformasjon og starte en annen planlagt oppgave for å kjøre en cc.bat-fil på den infiserte verten. Den andre batchskriptfilen utnytter SessionEnv, en Windows-tjeneste for å administrere eksterne skrivebordstjenester, for å sidelaste et ondsinnet dynamisk koblingsbibliotek (DLL) på den infiserte verten. "Den andre cc.bat er kjent for å utnytte en tjeneste som laster et ikke-eksisterende bibliotek for å sidelaste en ondsinnet DLL. I dette tilfellet er tjenesten SessionEnv," sa Trend Micro.

Den ondsinnede DLL-en slipper deretter UNAPIMON på Windows-tjenesten for forsvarsunndragelsesformål og også på en cmd.exe-prosess som stille utfører kommandoer. "UNAPIMON i seg selv er enkel: Det er en DLL-malware skrevet i C++ og er verken pakket eller tilsløret; den er ikke kryptert bortsett fra en enkelt streng," sa Trend Micro. Det som gjør den "sær" er dens forsvarsunndragelsesteknikk for å koble fra APIer slik at skadevareens ondsinnede prosesser forblir usynlige for trusseldeteksjonsverktøy. "I typiske scenarier er det skadelig programvare som gjør hookingen. Imidlertid er det motsatt i dette tilfellet, sa Trend Micro.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-threat-actor-using-peculiar-malware-to-hide-malicious-activities