与中国有关的威胁行为者通过“特殊”恶意软件隐藏

研究人员发现，与中国有关的威胁行为者 Earth Freybug 使用一种新的恶意软件工具来绕过组织可能为监视 Windows 应用程序编程接口 (API) 的恶意活动而建立的机制。

该恶意软件由趋势科技的研究人员发现并命名为 UNAPIMON，其工作原理是禁用 Windows API 中的挂钩，以检查和分析与 API 相关的进程是否存在安全问题。

取消 API 挂钩

目标是防止恶意软件生成的任何进程被防病毒工具、沙箱产品和其他威胁检测机制检测或检查。

“通过观察 UNAPIMON 的行为以及它在攻击中的使用方式，我们可以推断其主要目的是在任何子进程中取消关键 API 函数的挂钩，” 趋势科技本周在一份报告中表示.

“对于通过挂钩实现 API 监控的环境，例如沙箱系统，UNAPIMON 将阻止子进程受到监控，”安全供应商表示。这使得恶意程序可以在不被发现的情况下运行。

趋势科技将 Earth Freybug 评估为 APT41 的一个子集，APTXNUMX 是中国威胁组织的集合体，分别被称为 Winnti、Wicked Panda、Barium 和 Suckfly。该组织以使用一系列自定义工具和所谓的 live-off-the-land 二进制文件 (LOLbins) 来操纵 PowerShell 和 Windows Management Instrumentation (WMI) 等合法系统二进制文件而闻名。

APT41 本身至少从 2012 年起就一直活跃，并与众多网络间谍活动、供应链攻击和出于经济动机的网络犯罪有关。 2022 年，Cyber​​eason 的研究人员将威胁行为者确定为 窃取大量商业秘密和知识产权 多年来来自美国和亚洲的公司。其受害者包括制造和 IT 组织， 政府及 关键基础设施 目标是美国、东亚和欧洲。 2020年，美国政府 指控五名据信与该组织有关的成员 表彰他们在针对全球 100 多个组织的攻击中所发挥的作用。

攻击链

在趋势科技最近观察到的事件中，Earth Freybug 参与者使用多阶段方法在目标系统上交付 UNAPIMON。在第一阶段，攻击者将来源不明的恶意代码注入 vmstools.exe，这是一个与一组实用程序关联的进程，用于促进来宾虚拟机和底层主机之间的通信。恶意代码在主机上创建了一个计划任务，以在主机系统上运行批处理脚本文件（cc.bat）。

该批处理文件的任务是收集一系列系统信息并启动第二个计划任务以在受感染的主机上运行 cc.bat 文件。第二个批处理脚本文件利用 SessionEnv（一种用于管理远程桌面服务的 Windows 服务）在受感染的主机上旁加载恶意动态链接库 (DLL)。 “第二个 cc.bat 值得注意的是，它利用加载不存在的库的服务来旁加载恶意 DLL。在本例中，该服务是 SessionEnv，”趋势科技说道。

然后，恶意 DLL 将 UNAPIMON 投放到 Windows 服务上以用于防御规避目的，也会投放到静默执行命令的 cmd.exe 进程上。 “UNAPIMON 本身很简单：它是一个用 C++ 编写的 DLL 恶意软件，既没有加壳也没有混淆；除了单个字符串之外，它没有加密，”趋势科技表示。它的“奇特”之处在于它的防御规避技术，即解除 API 挂钩，从而使恶意软件的恶意进程对威胁检测工具保持不可见。 “在典型情况下，是恶意软件进行挂钩。然而，本次情况恰恰相反。”趋势科技表示。

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-threat-actor-using-peculiar-malware-to-hide-malicious-activities