นักวิจัยได้ค้นพบ Earth Freybug ซึ่งเป็นผู้คุกคามที่เกี่ยวข้องกับจีน โดยใช้เครื่องมือมัลแวร์ตัวใหม่เพื่อหลีกเลี่ยงกลไกที่องค์กรอาจใช้เพื่อตรวจสอบ Windows Application Programming Interfaces (API) เพื่อหากิจกรรมที่เป็นอันตราย
มัลแวร์ดังกล่าวซึ่งนักวิจัยที่ Trend Micro ค้นพบและตั้งชื่อว่า UNAPIMON ทำงานโดยปิดการใช้งาน hooks ใน Windows APIs เพื่อตรวจสอบและวิเคราะห์กระบวนการที่เกี่ยวข้องกับ API สำหรับปัญหาด้านความปลอดภัย
การปลดการเชื่อมต่อ API
เป้าหมายคือการป้องกันไม่ให้กระบวนการใดๆ ที่มัลแวร์เกิดขึ้นจากการตรวจพบหรือตรวจสอบโดยเครื่องมือป้องกันไวรัส ผลิตภัณฑ์แซนด์บ็อกซ์ และกลไกการตรวจจับภัยคุกคามอื่นๆ
“เมื่อดูพฤติกรรมของ UNAPIMON และวิธีการใช้ในการโจมตี เราสามารถอนุมานได้ว่าจุดประสงค์หลักคือการปลดฟังก์ชัน API ที่สำคัญในกระบวนการย่อย” Trend Micro กล่าวในรายงานในสัปดาห์นี้.
“สำหรับสภาพแวดล้อมที่ใช้การตรวจสอบ API ผ่านการฮุก เช่น ระบบแซนด์บ็อกซ์ UNAPIMON จะป้องกันไม่ให้กระบวนการลูกถูกตรวจสอบ” ผู้จำหน่ายความปลอดภัยกล่าว ซึ่งช่วยให้โปรแกรมที่เป็นอันตรายทำงานโดยไม่ถูกตรวจพบ
Trend Micro ประเมิน Earth Freybug ว่าเป็นชุดย่อยของ APT41 ซึ่งเป็นกลุ่มของกลุ่มภัยคุกคามของจีนที่เรียกกันอย่างหลากหลายว่า Winnti, Wicked Panda, Barium และ Suckfly กลุ่มนี้เป็นที่รู้จักในการใช้ชุดเครื่องมือแบบกำหนดเองและสิ่งที่เรียกว่า living-off-the-land binaries (LOLbins) ซึ่งจัดการไบนารีของระบบที่ถูกต้องตามกฎหมาย เช่น PowerShell และ Windows Management Instrumentation (WMI)
APT41 เปิดใช้งานมาตั้งแต่อย่างน้อยปี 2012 และเชื่อมโยงกับแคมเปญจารกรรมทางไซเบอร์ การโจมตีในห่วงโซ่อุปทาน และอาชญากรรมทางไซเบอร์ที่มีแรงจูงใจทางการเงินมากมาย ในปี 2022 นักวิจัยจาก Cybereason ระบุว่าผู้คุกคามคือ ขโมยความลับทางการค้าและทรัพย์สินทางปัญญาจำนวนมาก จากบริษัทในสหรัฐอเมริกาและเอเชียมานานหลายปี เหยื่อของมันรวมถึงองค์กรการผลิตและไอที รัฐบาลและ โครงสร้างพื้นฐานที่สำคัญ เป้าหมายในสหรัฐอเมริกา เอเชียตะวันออก และยุโรป ในปี 2020 รัฐบาลสหรัฐฯ ตั้งข้อหาสมาชิกห้าคนที่เชื่อว่าเกี่ยวข้องกับกลุ่ม สำหรับบทบาทในการโจมตีองค์กรมากกว่า 100 แห่งทั่วโลก
ห่วงโซ่การโจมตี
ในเหตุการณ์ล่าสุดที่ Trend Micro สังเกตเห็น นักแสดง Earth Freybug ใช้วิธีการแบบหลายขั้นตอนเพื่อส่ง UNAPIMON บนระบบเป้าหมาย ในระยะแรก ผู้โจมตีได้แทรกโค้ดที่เป็นอันตรายซึ่งไม่ทราบที่มาลงใน vmstools.exe ซึ่งเป็นกระบวนการที่เกี่ยวข้องกับชุดยูทิลิตี้สำหรับอำนวยความสะดวกในการสื่อสารระหว่างเครื่องเสมือนของแขกและเครื่องโฮสต์ที่ซ่อนอยู่ โค้ดที่เป็นอันตรายสร้างงานที่กำหนดเวลาไว้บนเครื่องโฮสต์เพื่อเรียกใช้ไฟล์สคริปต์แบตช์ (cc.bat) บนระบบโฮสต์
ภารกิจของไฟล์แบตช์คือการรวบรวมข้อมูลระบบต่างๆ และเริ่มงานตามกำหนดเวลาลำดับที่สองเพื่อเรียกใช้ไฟล์ cc.bat บนโฮสต์ที่ติดไวรัส ไฟล์สคริปต์ชุดที่สองใช้ประโยชน์จาก SessionEnv ซึ่งเป็นบริการ Windows สำหรับจัดการบริการเดสก์ท็อประยะไกล เพื่อโหลดไลบรารีลิงก์แบบไดนามิก (DLL) ที่เป็นอันตรายบนโฮสต์ที่ติดไวรัส “cc.bat ตัวที่สองมีความโดดเด่นในการใช้ประโยชน์จากบริการที่โหลดไลบรารี่ที่ไม่มีอยู่เพื่อโหลด DLL ที่เป็นอันตรายแบบไซด์โหลด ในกรณีนี้ บริการคือ SessionEnv” Trend Micro กล่าว
DLL ที่เป็นอันตรายจะปล่อย UNAPIMON บนบริการ Windows เพื่อวัตถุประสงค์ในการหลีกเลี่ยงการป้องกันและบนกระบวนการ cmd.exe ที่รันคำสั่งอย่างเงียบ ๆ “UNAPIMON นั้นตรงไปตรงมา: มันเป็นมัลแวร์ DLL ที่เขียนด้วยภาษา C++ และไม่มีการบรรจุหรือทำให้สับสน มันไม่ได้เข้ารหัสไว้เพียงสตริงเดียว” Trend Micro กล่าว สิ่งที่ทำให้มัน “แปลก” ก็คือเทคนิคการหลีกเลี่ยงการป้องกันด้วยการปลดการเชื่อมต่อ API เพื่อให้กระบวนการที่เป็นอันตรายของมัลแวร์ยังคงมองไม่เห็นในเครื่องมือตรวจจับภัยคุกคาม “ในสถานการณ์ทั่วไป มัลแวร์นี่แหละที่ทำหน้าที่ดักฟัง อย่างไรก็ตาม กรณีนี้จะตรงกันข้าม” Trend Micro กล่าว
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-threat-actor-using-peculiar-malware-to-hide-malicious-activities
- :มี
- :เป็น
- :ไม่
- 100
- 2012
- 2020
- 2022
- 7
- a
- คล่องแคล่ว
- อยากทำกิจกรรม
- นักแสดง
- กับ
- ช่วยให้
- ด้วย
- วิเคราะห์
- และ
- โปรแกรมป้องกันไวรัส
- ใด
- API
- APIs
- การใช้งาน
- เข้าใกล้
- AS
- เอเชีย
- การประเมิน
- ที่เกี่ยวข้อง
- At
- โจมตี
- การโจมตี
- ค้างคาว
- BE
- รับ
- พฤติกรรม
- กำลัง
- เชื่อว่า
- ระหว่าง
- by
- ทางอ้อม
- C + +
- แคมเปญ
- CAN
- กรณี
- โซ่
- เด็ก
- ชาวจีน
- รหัส
- รวบรวม
- ชุด
- โดยรวม
- คมนาคม
- บริษัท
- ที่สร้างขึ้น
- วิกฤติ
- ประเพณี
- ไซเบอร์
- อาชญากรรม
- ป้องกัน
- การส่งมอบ
- เดสก์ท็อป
- ตรวจพบ
- การตรวจพบ
- ค้นพบ
- ทำ
- หยด
- พลวัต
- โลก
- ตะวันออก
- ที่มีการเข้ารหัส
- สภาพแวดล้อม
- การจารกรรม
- ยุโรป
- การหลีกเลี่ยง
- รัน
- อำนวยความสะดวก
- เนื้อไม่มีมัน
- ให้เงิน
- ชื่อจริง
- ห้า
- สำหรับ
- ราคาเริ่มต้นที่
- ฟังก์ชั่น
- ทั่วโลก
- เป้าหมาย
- รัฐบาล
- บัญชีกลุ่ม
- กลุ่ม
- แขก
- มี
- ตะขอ
- เจ้าภาพ
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- อย่างไรก็ตาม
- HTML
- HTTPS
- ระบุ
- การดำเนินการ
- in
- อุบัติการณ์
- รวม
- ที่ติดเชื้อ
- ข้อมูล
- เริ่มต้น
- ทางปัญญา
- อินเตอร์เฟซ
- เข้าไป
- มองไม่เห็น
- ปัญหา
- IT
- ITS
- ตัวเอง
- jpg
- ที่รู้จักกัน
- ใหญ่
- น้อยที่สุด
- ถูกกฎหมาย
- ยกระดับ
- การใช้ประโยชน์
- ห้องสมุด
- LINK
- ที่เชื่อมโยง
- โหลด
- ที่ต้องการหา
- เครื่อง
- ทำให้
- ที่เป็นอันตราย
- มัลแวร์
- การจัดการ
- การจัดการ
- การผลิต
- กลไก
- สมาชิก
- ไมโคร
- อาจ
- การตรวจสอบ
- การตรวจสอบ
- การตรวจสอบ
- ข้อมูลเพิ่มเติม
- แรงบันดาลใจ
- ที่มีชื่อ
- ค่า
- ใหม่
- ไม่มีอยู่
- โดดเด่น
- มากมาย
- of
- on
- ตรงข้าม
- or
- องค์กร
- ที่มา
- อื่นๆ
- แน่น
- แปลก
- สถานที่
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- PowerShell
- ป้องกัน
- ประถม
- กระบวนการ
- กระบวนการ
- ผลิตภัณฑ์
- การเขียนโปรแกรม
- โปรแกรม
- วัตถุประสงค์
- วัตถุประสงค์
- ใส่
- เงียบ ๆ
- พิสัย
- เมื่อเร็ว ๆ นี้
- เรียกว่า
- ยังคง
- รีโมท
- รายงาน
- นักวิจัย
- บทบาท
- วิ่ง
- s
- กล่าวว่า
- ลด
- สถานการณ์
- ที่กำหนดไว้
- ต้นฉบับ
- ที่สอง
- ความลับ
- ความปลอดภัย
- บริการ
- บริการ
- ชุด
- ตั้งแต่
- เดียว
- So
- ระยะ
- ซื่อตรง
- เชือก
- อย่างเช่น
- จัดหาอุปกรณ์
- ห่วงโซ่อุปทาน
- ระบบ
- ระบบ
- เป้า
- เป้าหมาย
- งาน
- เทคนิค
- กว่า
- ที่
- พื้นที่
- ของพวกเขา
- แล้วก็
- นี้
- การคุกคาม
- ตลอด
- ไปยัง
- เครื่องมือ
- เครื่องมือ
- การค้า
- เทรนด์
- ตามแบบฉบับ
- พื้นฐาน
- ไม่ทราบ
- us
- รัฐบาลเรา
- มือสอง
- การใช้
- ยูทิลิตี้
- ผู้ขาย
- ผ่านทาง
- ผู้ที่ตกเป็นเหยื่อ
- เสมือน
- เครื่องเสมือน
- ไดรฟ์
- คือ
- we
- อะไร
- ที่
- จะ
- หน้าต่าง
- กับ
- ไม่มี
- โรงงาน
- เขียน
- ปี
- ลมทะเล