Researchers have spotted Earth Freybug, a China-linked threat actor, using a new malware tool to bypass mechanisms organizations might have put in place to monitor Windows application programming interfaces (APIs) for malicious activity.
The malware, which researchers at Trend Micro discovered and named UNAPIMON, works by disabling hooks in Windows APIs for inspecting and analyzing API-related processes for security issues.
Unhooking APIs
The goal is to prevent any processes that the malware spawns from being detected or inspected by antivirus tools, sandboxing products, and other threat detection mechanisms.
“Looking at the behavior of UNAPIMON and how it was used in the attack, we can infer that its primary purpose is to unhook critical API functions in any child process,” Trend Micro said in a report this week.
“For environments that implement API monitoring through hooking, such as sandboxing systems, UNAPIMON will prevent child processes from being monitored,” the security vendor said. This allows malicious programs to run without being detected.
Trend Micro assessed Earth Freybug as being a subset of APT41, a collective of Chinese threat groups variously referred to as Winnti, Wicked Panda, Barium, and Suckfly. The group is known for using a collection of custom tools and so-called living-off-the-land binaries (LOLbins) that manipulate legitimate system binaries such as PowerShell and Windows Management Instrumentation (WMI).
APT41 itself has been active since at least 2012 and is linked to numerous cyber espionage campaigns, supply chain attacks, and financially motivated cybercrime. In 2022, researchers at Cybereason identified the threat actor as stealing large volumes of trade secrets and intellectual property from companies in the US and Asia for years. Its victims have included manufacturing and IT organizations, уряду та критична інфраструктура targets in the US, East Asia, and Europe. In 2020, the US government charged five members believed to be associated with the group for their role in attacks against more than 100 organizations globally.
Ланцюг атаки
In the recent incident that Trend Micro observed, Earth Freybug actors used a multistaged approach to delivering UNAPIMON on target systems. In the first stage, the attackers injected malicious code of unknown origin into vmstools.exe, a process associated with a set of utilities for facilitating communications between a guest virtual machine and the underlying host machine. The malicious code created a scheduled task on the host machine to run a batch script file (cc.bat) on the host system.
The batch file’s task is to collect a range of system information and initiate a second scheduled task to run a cc.bat file on the infected host. The second batch script file leverages SessionEnv, a Windows service for managing remote desktop services, to side-load a malicious dynamic link library (DLL) on the infected host. “The second cc.bat is notable for leveraging a service that loads a nonexistent library to side-load a malicious DLL. In this case, the service is SessionEnv,” Trend Micro said.
The malicious DLL then drops UNAPIMON on the Windows service for defense evasion purposes and also on a cmd.exe process that quietly executes commands. “UNAPIMON itself is straightforward: It is a DLL malware written in C++ and is neither packed nor obfuscated; it is not encrypted save for a single string,” Trend Micro said. What makes it “peculiar” is its defense evasion technique of unhooking APIs so that the malware’s malicious processes remain invisible to threat detection tools. “In typical scenarios, it is the malware that does the hooking. However, it is the opposite in this case,” Trend Micro said.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-threat-actor-using-peculiar-malware-to-hide-malicious-activities
- : має
- :є
- : ні
- 100
- 2012
- 2020
- 2022
- 7
- a
- активний
- діяльність
- актори
- проти
- дозволяє
- Також
- Аналізуючи
- та
- антивірус
- будь-який
- API
- Інтерфейси
- додаток
- підхід
- AS
- Азія
- оцінюється
- асоційований
- At
- атака
- нападки
- НИМ
- BE
- було
- поведінка
- буття
- вважається,
- між
- by
- обходити
- C + +
- Кампанії
- CAN
- випадок
- ланцюг
- дитина
- китайський
- код
- збирати
- збір
- Collective
- зв'язку
- Компанії
- створений
- критичний
- виготовлений на замовлення
- кібер-
- кіберзлочинності
- оборони
- надання
- робочий стіл
- виявлено
- Виявлення
- відкритий
- робить
- краплі
- динамічний
- земля
- Схід
- зашифрованих
- середовищах
- шпигунство
- Європа
- ухилення
- Виконує
- сприяння
- філе
- фінансово
- Перший
- п'ять
- для
- від
- Функції
- Глобально
- мета
- Уряд
- Group
- Групи
- гість
- Мати
- гачки
- господар
- Як
- Однак
- HTML
- HTTPS
- ідентифікований
- здійснювати
- in
- інцидент
- включені
- заражений
- інформація
- ініціювати
- інтелектуальний
- Інтерфейси
- в
- невидимий
- питання
- IT
- ЙОГО
- сам
- JPG
- відомий
- великий
- найменш
- законний
- важелі
- використання
- бібліотека
- LINK
- пов'язаний
- вантажі
- шукати
- машина
- РОБОТИ
- malicious
- шкідливих програм
- управління
- управління
- виробництво
- механізми
- члени
- мікро-
- може бути
- монітор
- контрольований
- моніторинг
- більше
- мотивовані
- Названий
- ні
- Нові
- не існує
- Помітний
- численний
- of
- on
- протилежний
- or
- організації
- походження
- Інше
- упакований
- своєрідний
- місце
- plato
- Інформація про дані Платона
- PlatoData
- PowerShell
- запобігати
- первинний
- процес
- процеси
- Продукти
- Програмування
- програми
- мета
- цілей
- put
- тихо
- діапазон
- останній
- називають
- залишатися
- віддалений
- звітом
- Дослідники
- Роль
- прогін
- s
- Зазначений
- зберегти
- сценарії
- плановий
- сценарій
- другий
- секрети
- безпеку
- обслуговування
- Послуги
- комплект
- з
- один
- So
- Стажування
- просто
- рядок
- такі
- поставка
- ланцюжка поставок
- система
- Systems
- Мета
- цілі
- Завдання
- техніка
- ніж
- Що
- Команда
- їх
- потім
- це
- загроза
- через
- до
- інструмент
- інструменти
- торгувати
- Trend
- типовий
- що лежить в основі
- невідомий
- us
- нас уряд
- використовуваний
- використання
- комунальні послуги
- продавець
- через
- жертви
- Віртуальний
- віртуальна машина
- Обсяги
- було
- we
- Що
- який
- волі
- windows
- з
- без
- працює
- письмовий
- років
- зефірнет