ผู้คุกคามที่เชื่อมโยงกับจีนซ่อนตัวผ่านมัลแวร์ 'แปลกประหลาด'

นักวิจัยได้ค้นพบ Earth Freybug ซึ่งเป็นผู้คุกคามที่เกี่ยวข้องกับจีน โดยใช้เครื่องมือมัลแวร์ตัวใหม่เพื่อหลีกเลี่ยงกลไกที่องค์กรอาจใช้เพื่อตรวจสอบ Windows Application Programming Interfaces (API) เพื่อหากิจกรรมที่เป็นอันตราย

มัลแวร์ดังกล่าวซึ่งนักวิจัยที่ Trend Micro ค้นพบและตั้งชื่อว่า UNAPIMON ทำงานโดยปิดการใช้งาน hooks ใน Windows APIs เพื่อตรวจสอบและวิเคราะห์กระบวนการที่เกี่ยวข้องกับ API สำหรับปัญหาด้านความปลอดภัย

การปลดการเชื่อมต่อ API

เป้าหมายคือการป้องกันไม่ให้กระบวนการใดๆ ที่มัลแวร์เกิดขึ้นจากการตรวจพบหรือตรวจสอบโดยเครื่องมือป้องกันไวรัส ผลิตภัณฑ์แซนด์บ็อกซ์ และกลไกการตรวจจับภัยคุกคามอื่นๆ

“เมื่อดูพฤติกรรมของ UNAPIMON และวิธีการใช้ในการโจมตี เราสามารถอนุมานได้ว่าจุดประสงค์หลักคือการปลดฟังก์ชัน API ที่สำคัญในกระบวนการย่อย” Trend Micro กล่าวในรายงานในสัปดาห์นี้.

“สำหรับสภาพแวดล้อมที่ใช้การตรวจสอบ API ผ่านการฮุก เช่น ระบบแซนด์บ็อกซ์ UNAPIMON จะป้องกันไม่ให้กระบวนการลูกถูกตรวจสอบ” ผู้จำหน่ายความปลอดภัยกล่าว ซึ่งช่วยให้โปรแกรมที่เป็นอันตรายทำงานโดยไม่ถูกตรวจพบ

Trend Micro ประเมิน Earth Freybug ว่าเป็นชุดย่อยของ APT41 ซึ่งเป็นกลุ่มของกลุ่มภัยคุกคามของจีนที่เรียกกันอย่างหลากหลายว่า Winnti, Wicked Panda, Barium และ Suckfly กลุ่มนี้เป็นที่รู้จักในการใช้ชุดเครื่องมือแบบกำหนดเองและสิ่งที่เรียกว่า living-off-the-land binaries (LOLbins) ซึ่งจัดการไบนารีของระบบที่ถูกต้องตามกฎหมาย เช่น PowerShell และ Windows Management Instrumentation (WMI)

APT41 เปิดใช้งานมาตั้งแต่อย่างน้อยปี 2012 และเชื่อมโยงกับแคมเปญจารกรรมทางไซเบอร์ การโจมตีในห่วงโซ่อุปทาน และอาชญากรรมทางไซเบอร์ที่มีแรงจูงใจทางการเงินมากมาย ในปี 2022 นักวิจัยจาก Cybereason ระบุว่าผู้คุกคามคือ ขโมยความลับทางการค้าและทรัพย์สินทางปัญญาจำนวนมาก จากบริษัทในสหรัฐอเมริกาและเอเชียมานานหลายปี เหยื่อของมันรวมถึงองค์กรการผลิตและไอที รัฐบาลและ โครงสร้างพื้นฐานที่สำคัญ เป้าหมายในสหรัฐอเมริกา เอเชียตะวันออก และยุโรป ในปี 2020 รัฐบาลสหรัฐฯ ตั้งข้อหาสมาชิกห้าคนที่เชื่อว่าเกี่ยวข้องกับกลุ่ม สำหรับบทบาทในการโจมตีองค์กรมากกว่า 100 แห่งทั่วโลก

ห่วงโซ่การโจมตี

ในเหตุการณ์ล่าสุดที่ Trend Micro สังเกตเห็น นักแสดง Earth Freybug ใช้วิธีการแบบหลายขั้นตอนเพื่อส่ง UNAPIMON บนระบบเป้าหมาย ในระยะแรก ผู้โจมตีได้แทรกโค้ดที่เป็นอันตรายซึ่งไม่ทราบที่มาลงใน vmstools.exe ซึ่งเป็นกระบวนการที่เกี่ยวข้องกับชุดยูทิลิตี้สำหรับอำนวยความสะดวกในการสื่อสารระหว่างเครื่องเสมือนของแขกและเครื่องโฮสต์ที่ซ่อนอยู่ โค้ดที่เป็นอันตรายสร้างงานที่กำหนดเวลาไว้บนเครื่องโฮสต์เพื่อเรียกใช้ไฟล์สคริปต์แบตช์ (cc.bat) บนระบบโฮสต์

ภารกิจของไฟล์แบตช์คือการรวบรวมข้อมูลระบบต่างๆ และเริ่มงานตามกำหนดเวลาลำดับที่สองเพื่อเรียกใช้ไฟล์ cc.bat บนโฮสต์ที่ติดไวรัส ไฟล์สคริปต์ชุดที่สองใช้ประโยชน์จาก SessionEnv ซึ่งเป็นบริการ Windows สำหรับจัดการบริการเดสก์ท็อประยะไกล เพื่อโหลดไลบรารีลิงก์แบบไดนามิก (DLL) ที่เป็นอันตรายบนโฮสต์ที่ติดไวรัส “cc.bat ตัวที่สองมีความโดดเด่นในการใช้ประโยชน์จากบริการที่โหลดไลบรารี่ที่ไม่มีอยู่เพื่อโหลด DLL ที่เป็นอันตรายแบบไซด์โหลด ในกรณีนี้ บริการคือ SessionEnv” Trend Micro กล่าว

DLL ที่เป็นอันตรายจะปล่อย UNAPIMON บนบริการ Windows เพื่อวัตถุประสงค์ในการหลีกเลี่ยงการป้องกันและบนกระบวนการ cmd.exe ที่รันคำสั่งอย่างเงียบ ๆ “UNAPIMON นั้นตรงไปตรงมา: มันเป็นมัลแวร์ DLL ที่เขียนด้วยภาษา C++ และไม่มีการบรรจุหรือทำให้สับสน มันไม่ได้เข้ารหัสไว้เพียงสตริงเดียว” Trend Micro กล่าว สิ่งที่ทำให้มัน “แปลก” ก็คือเทคนิคการหลีกเลี่ยงการป้องกันด้วยการปลดการเชื่อมต่อ API เพื่อให้กระบวนการที่เป็นอันตรายของมัลแวร์ยังคงมองไม่เห็นในเครื่องมือตรวจจับภัยคุกคาม “ในสถานการณ์ทั่วไป มัลแวร์นี่แหละที่ทำหน้าที่ดักฟัง อย่างไรก็ตาม กรณีนี้จะตรงกันข้าม” Trend Micro กล่าว

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-threat-actor-using-peculiar-malware-to-hide-malicious-activities