Grupul de hackeri chinezi „Winnti” a fost descoperit folosind un malware anterior nedocumentat numit UNAPIMON pentru a permite proceselor malitioase să ruleze fără a fi detectate.
Winnti, cunoscut și sub numele de APT41, este unul dintre cele mai vechi (activ din 2012) și cele mai sofisticate și prolifice grupuri de amenințări cibernetice, considerat a fi un actor sponsorizat de statul chinez.
În trecut, ei au vizat un spectru larg de organizații, inclusiv guverne, producători de hardware, dezvoltatori de software, think tank-uri, furnizori de servicii de telecomunicații și institute educaționale.
Un nou raport realizat de Trend Micro investighează un malware personalizat anterior nevăzut folosit într-o operațiune pe care au monitorizat-o îndeaproape, atribuind atacul de spionaj cibernetic unui cluster pe care l-au numit ‘Earth Freybug’.
Atacul începe cu un proces malitios injectat în procesul legitim VMware Tools vmtoolsd.exe, care execută o sarcină programată la distanță pentru a rula un fișier batch care colectează informații de sistem, inclusiv configurații de rețea și detalii despre utilizatori.
În continuare, un al doilea fișier batch (cc.bat) utilizează încărcarea laterală a DLL-ului (TSMSISrv.dll) implicând serviciul SessionEnv pentru a încărca UNAPIMON în memorie, injectându-l într-un proces cmd.exe.
UNAPIMON este un malware C++ livrat sub formă de DLL (_{aleatoriu}.dll), care folosește Microsoft Detours pentru a conecta funcția API CreateProcessW, permițându-i să deconecteze funcțiile API critice din procesele copil.
Deoarece multe instrumente de securitate folosesc conectarea API-urilor pentru a urmări activitățile dăunătoare, mecanismul UNAPIMON-ului îi permite să deconecteze acele API-uri dintr-un proces copil dăunător pentru a evita detectarea.
Conform analizei Trend Micro, mecanismul de evitare funcționează în pași distincți, așa cum sunt enumerați mai jos:
Trend Micro explică faptul că majoritatea malware-urilor folosesc conectarea pentru a intercepta apelurile, a captura date sensibile și a modifica comportamentul software-ului. Prin urmare, abordarea UNAPIMON-ului pentru deconectare în scopul evitării este o tehnică neobișnuită.
„O caracteristică unică și remarcabilă a acestui malware este simplitatea și originalitatea sa,” a concluzionat Trend Micro.
„Utilizarea tehnologiilor existente, cum ar fi Microsoft Detours, arată că orice bibliotecă simplă și la raft poate fi folosită în mod dăunător dacă este utilizată creativ. Acest lucru a arătat, de asemenea, priceperea în programare și creativitatea autorului malware-ului.”
„În scenariile tipice, este malware-ul care face conectarea. Cu toate acestea, este inversul în acest caz.”
Mai mult, folosind instrumentul legitim de depanare Microsoft Detours pentru a realiza deconectarea ar putea permite evitarea detectării comportamentale în comparație cu utilizarea unei rutine personalizate necunoscute.
Hackerii Winnti sunt cunoscuți pentru metodele lor inovatoare de evitare a detectării în timpul atacurilor.
În 2020, hackerii au fost observați folosind procesele de tipărire Windows pentru a ascunde o ușă din spate și a rămâne persistenți. În 2022, hackerii au divizat beacon-urile Cobalt Strike în 154 de bucăți mici pentru a evita detectarea, reconstruindu-le doar într-un executabil atunci când erau pregătiți să fie lansate.
Windows 11 22H2 Home și Pro primesc actualizări de previzualizare până la 26 iunie
Actualizarea Windows 11 KB5035942 activează funcțiile Moment 5 pentru toată lumea
Finlanda confirmă că hackerii APT31 stau în spatele încălcării parlamentului din 2021
SUA impune sancțiuni hackerilor APT31 din spatele atacurilor asupra infrastructurii critice
Studiază pentru certificarea Windows PowerShell pentru doar 20$
Leave a Reply