✔Группировка Winnti использует малварь UNAPIMON для кибершпионажа - «Новости»

04 апреля 2024 460 Преимущества стилей / Новости / Видео уроки / Текст 0

APT41 (и Earth Freybug в ее составе) является одной старейших китайских хак-групп, которая активна с 2012 года. Ранее группировка атаковала широкий спектр организаций, включая правительства, поставщиков оборудования, разработчиков ПО, аналитические центры, поставщиков телекоммуникационных услуг и образовательные учреждения.

Изученные специалистами атаки Earth Freybug начинаются с внедрения вредоносного процесса в легитимный процесс VMware Tools (vmtoolsd.exe), который выполняет удаленное запланированное задание для запуска batch-файла, собирающего информацию о системе (включая сетевые настройки и данные о пользователях).

Затем второй batch-файл (cc.bat), используя технику side-loading'а DLL (TSMSISrv.dll) с участием службы SessionEnv, загружает UNAPIMON в память и внедряет его в процесс cmd.exe.

Сама UNAPIMON представляет собой малварь, написанную на C++, поставляемую в виде DLL (_{random}.dll), которая использует Microsoft Detours для перехвата API-функции CreateProcessW, что позволяет ей осуществлять анхукинг критических API-функций в дочерних процессах.

Поскольку многие защитные решения используют API-хукинг для отслеживания вредоносной активности, UNAPIMON позволяет произвести анхукинг API, чтобы избежать обнаружения.

Trend Micro объясняет, что большинство вредоносных программ используют хуки для перехвата вызовов, получения конфиденциальных данных и изменения поведения софта. То есть используемые UNAPIMON методы это весьма необычны.

«Уникальной и заметной особенностью этой вредоносной программы является ее простота и оригинальность, — заключают в Trend Micro. — Использование существующих технологий, таких как Microsoft Detours, демонстрирует, что любая простая и готовая библиотека может использоваться для вредоносных целей, если к ней подойти творчески. Это также свидетельствует о мастерстве и творческом подходе авторов вредоносного ПО. В типичных сценариях именно вредоносная программа выполняет хукинг. Однако в данном случае все наоборот».

Исследователи Trend Micro обнаружили активность группировки Earth Freybug, по мнению аналитиков, входящей в состав известной китайской хак-группы APT41 (она же Winnti, Axiom, Brass Typhoon, Bronze Atlas, HOODOO, Wicked Panda). Новая малварь UNAPIMON позволяет вредоносным процессам запускаться незамеченными и используется для кибершпионских атак. APT41 (и Earth Freybug в ее составе) является одной старейших китайских хак-групп, которая активна с 2012 года. Ранее группировка атаковала широкий спектр организаций, включая правительства, поставщиков оборудования, разработчиков ПО, аналитические центры, поставщиков телекоммуникационных услуг и образовательные учреждения. Изученные специалистами атаки Earth Freybug начинаются с внедрения вредоносного процесса в легитимный процесс VMware Tools (vmtoolsd.exe), который выполняет удаленное запланированное задание для запуска batch-файла, собирающего информацию о системе (включая сетевые настройки и данные о пользователях). Затем второй batch-файл (cc.bat), используя технику side-loading'а DLL (TSMSISrv.dll) с участием службы SessionEnv, загружает UNAPIMON в память и внедряет его в процесс cmd.exe. Сама UNAPIMON представляет собой малварь, написанную на C , поставляемую в виде DLL (__

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.