Osoba zagrażająca powiązana z Chinami ukrywa się za pośrednictwem „osobliwego” złośliwego oprogramowania

Badacze zauważyli Earth Freybug, powiązanego z Chinami ugrupowania zagrażającego, wykorzystującego nowe narzędzie szkodliwego oprogramowania do omijania mechanizmów, które organizacje mogły wprowadzić w celu monitorowania interfejsów programowania aplikacji (API) systemu Windows pod kątem złośliwej aktywności.

Szkodnik odkryty przez badaczy z firmy Trend Micro i nazwany UNAPIMON działa poprzez wyłączanie przechwytów w interfejsach API systemu Windows w celu sprawdzania i analizowania procesów związanych z interfejsami API pod kątem problemów z bezpieczeństwem.

Odczepianie interfejsów API

Celem jest uniemożliwienie wykrycia lub sprawdzenia procesów uruchamianych przez złośliwe oprogramowanie przez narzędzia antywirusowe, produkty typu sandbox i inne mechanizmy wykrywania zagrożeń.

„Patrząc na zachowanie UNAPIMON i sposób, w jaki został on użyty w ataku, możemy wywnioskować, że jego głównym celem jest odłączenie krytycznych funkcji API w dowolnym procesie potomnym.” Trend Micro podał w raporcie z tego tygodnia.

„W środowiskach, które wdrażają monitorowanie API poprzez przechwytywanie, takich jak systemy piaskownicy, UNAPIMON zapobiegnie monitorowaniu procesów potomnych” – powiedział dostawca zabezpieczeń. Dzięki temu szkodliwe programy mogą działać bez wykrycia.

Firma Trend Micro oceniła, że ​​Earth Freybug jest podzbiorem APT41 – kolektywu chińskich grup zagrożeń określanych różnie jako Winnti, Wicked Panda, Barium i Suckfly. Grupa znana jest z używania kolekcji niestandardowych narzędzi i tak zwanych plików binarnych typu Living-off-the-land (LOLbins), które manipulują legalnymi plikami systemowymi, takimi jak PowerShell i Instrumentacja zarządzania Windows (WMI).

Sam APT41 jest aktywny co najmniej od 2012 r. i jest powiązany z licznymi kampaniami cyberszpiegowskimi, atakami na łańcuch dostaw i cyberprzestępczością motywowaną finansowo. W 2022 roku badacze z Cybereason zidentyfikowali aktora zagrażającego jako kradzież dużych ilości tajemnic handlowych i własności intelektualnej od lat od firm z USA i Azji. Wśród jego ofiar znalazły się organizacje produkcyjne i IT, rządy, infrastruktura krytyczna cele w USA, Azji Wschodniej i Europie. W 2020 r. rząd USA oskarżył pięciu członków prawdopodobnie powiązanych z grupą za rolę w atakach na ponad 100 organizacji na całym świecie.

Łańcuch ataku

Podczas niedawnego incydentu zaobserwowanego przez firmę Trend Micro aktorzy Earth Freybug zastosowali wieloetapowe podejście do dostarczania UNAPIMON w systemach docelowych. W pierwszym etapie osoby atakujące wstrzyknęły złośliwy kod nieznanego pochodzenia do pliku vmstools.exe – procesu powiązanego z zestawem narzędzi ułatwiających komunikację między gościnną maszyną wirtualną a maszyną hosta. Szkodliwy kod utworzył zaplanowane zadanie na komputerze hosta w celu uruchomienia pliku skryptu wsadowego (cc.bat) w systemie hosta.

Zadaniem pliku wsadowego jest zebranie szeregu informacji o systemie i zainicjowanie drugiego zaplanowanego zadania polegającego na uruchomieniu pliku cc.bat na zainfekowanym hoście. Drugi plik skryptu wsadowego wykorzystuje SessionEnv, usługę systemu Windows do zarządzania usługami pulpitu zdalnego, do bocznego ładowania złośliwej biblioteki dołączanej dynamicznie (DLL) na zainfekowany host. „Drugi cc.bat wyróżnia się wykorzystaniem usługi ładującej nieistniejącą bibliotekę w celu bocznego załadowania złośliwej biblioteki DLL. W tym przypadku usługą jest SessionEnv” – powiedział Trend Micro.

Złośliwa biblioteka DLL następnie upuszcza UNAPIMON w usłudze Windows w celu obejścia zabezpieczeń, a także w procesie cmd.exe, który po cichu wykonuje polecenia. „UNAPIMON sam w sobie jest prosty: jest to szkodliwe oprogramowanie DLL napisane w C++, które nie jest spakowane ani zaciemnione; nie jest szyfrowany, z wyjątkiem pojedynczego ciągu znaków” – twierdzi Trend Micro. To, co czyni go „wyjątkowym”, to technika obchodzenia zabezpieczeń polegająca na odłączaniu interfejsów API, dzięki czemu złośliwe procesy złośliwego oprogramowania pozostają niewidoczne dla narzędzi do wykrywania zagrożeń. „W typowych scenariuszach za przechwytywanie odpowiada złośliwe oprogramowanie. W tym przypadku jest jednak odwrotnie” – stwierdził Trend Micro.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-threat-actor-using-peculiar-malware-to-hide-malicious-activities