Actorul de amenințări legat de China se ascunde printr-un program malware „peculiar”.

Cercetătorii au observat Earth Freybug, un actor de amenințări legat de China, folosind un nou instrument malware pentru a ocoli mecanismele pe care organizațiile le-ar fi putut pune în aplicare pentru a monitoriza interfețele de programare a aplicațiilor (API) Windows pentru activități rău intenționate.

Malware-ul, pe care cercetătorii de la Trend Micro l-au descoperit și denumit UNAPIMON, funcționează prin dezactivarea cârligelor din API-urile Windows pentru inspectarea și analizarea proceselor legate de API pentru probleme de securitate.

Decuplarea API-urilor

Scopul este de a preveni detectarea sau inspectarea oricăror procese pe care le generează malware-ul de către instrumente antivirus, produse de tip sandbox și alte mecanisme de detectare a amenințărilor.

„Privind comportamentul UNAPIMON și modul în care a fost folosit în atac, putem deduce că scopul său principal este de a deconecta funcțiile API critice în orice proces copil.” Trend Micro a spus într-un raport de săptămâna aceasta.

„Pentru mediile care implementează monitorizarea API prin conectare, cum ar fi sistemele sandboxing, UNAPIMON va împiedica monitorizarea proceselor copil”, a spus furnizorul de securitate. Acest lucru permite ca programele rău intenționate să ruleze fără a fi detectate.

Trend Micro a evaluat Earth Freybug ca fiind un subset al APT41, un colectiv de grupuri de amenințări chineze denumite în mod diferit Winnti, Wicked Panda, Barium și Suckfly. Grupul este cunoscut pentru utilizarea unei colecții de instrumente personalizate și așa-numitele binare living-off-the-land (LOLbins) care manipulează binare legitime ale sistemului, cum ar fi PowerShell și Windows Management Instrumentation (WMI).

APT41 însuși este activ din 2012 și este legat de numeroase campanii de spionaj cibernetic, atacuri în lanțul de aprovizionare și criminalitate cibernetică motivată financiar. În 2022, cercetătorii de la Cybereason au identificat actorul amenințării ca fiind sustragerea unor volume mari de secrete comerciale și de proprietate intelectuală de la companii din SUA și Asia de ani de zile. Printre victimele sale se numără organizațiile de producție și IT, guvernele, și infrastructură critică ținte în SUA, Asia de Est și Europa. În 2020, guvernul SUA a acuzat cinci membri despre care se crede că sunt asociați cu grupul pentru rolul lor în atacurile împotriva a peste 100 de organizații la nivel global.

Lanț de atac

În incidentul recent observat de Trend Micro, actorii Earth Freybug au folosit o abordare în mai multe etape pentru a furniza UNAPIMON pe sistemele țintă. În prima etapă, atacatorii au injectat cod rău intenționat de origine necunoscută în vmstools.exe, un proces asociat cu un set de utilitare pentru facilitarea comunicațiilor între o mașină virtuală invitată și mașina gazdă subiacentă. Codul rău intenționat a creat o sarcină programată pe mașina gazdă pentru a rula un fișier script batch (cc.bat) pe sistemul gazdă.

Sarcina fișierului batch este să colecteze o serie de informații de sistem și să inițieze o a doua sarcină programată pentru a rula un fișier cc.bat pe gazda infectată. Al doilea fișier script batch folosește SessionEnv, un serviciu Windows pentru gestionarea serviciilor desktop la distanță, pentru a încărca lateral o bibliotecă de linkuri dinamice (DLL) rău intenționată pe gazda infectată. „Al doilea cc.bat este remarcabil pentru utilizarea unui serviciu care încarcă o bibliotecă inexistentă pentru a încărca lateral un DLL rău intenționat. În acest caz, serviciul este SessionEnv”, a spus Trend Micro.

DLL-ul rău intenționat lansează apoi UNAPIMON în serviciul Windows în scopuri de evaziune a apărării și, de asemenea, într-un proces cmd.exe care execută comenzi în liniște. „UNAPIMON în sine este simplu: este un malware DLL scris în C++ și nu este nici împachetat, nici ofuscat; nu este criptat, cu excepția unui singur șir”, a spus Trend Micro. Ceea ce îl face „peculiar” este tehnica sa de evaziune a apărării de deconectare a API-urilor, astfel încât procesele rău intenționate ale malware-ului să rămână invizibile pentru instrumentele de detectare a amenințărilor. „În scenariile tipice, malware-ul este cel care face hooking. Cu toate acestea, este opusul în acest caz”, a spus Trend Micro.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-threat-actor-using-peculiar-malware-to-hide-malicious-activities