Father
Professional
- Messages
- 2,602
- Reaction score
- 760
- Points
- 113
Был замечен кластер угроз, отслеживаемый как Earth Freybug, использующий новую вредоносную программу под названием UNAPIMON, чтобы скрыться от радаров.
"Earth Freybug - это группа киберугроз, действующая как минимум с 2012 года и занимающаяся шпионажем и финансово мотивированной деятельностью", - сказал в опубликованном сегодня отчете исследователь безопасности Trend Micro Кристофер Со.
"Было замечено, что она нацелена на организации из различных секторов в разных странах".
Компания по кибербезопасности описала Earth Freybug как подразделение APT41, связанной с Китаем группы кибершпионажа, которая также отслеживается как Axiom, Brass Typhoon (ранее Barium), Bronze Atlas, HOODOO, Wicked Panda и Winnti.
Известно, что противоборствующий коллектив полагается на комбинацию бинарных файлов, работающих вне сети (LOLBins), и специализированного вредоносного ПО для реализации своих целей. Также используются такие методы, как перехват библиотеки динамических ссылок (DLL) и отключение интерфейса прикладного программирования (API).
Trend Micro заявила, что эта деятельность тактически перекликается с группой, ранее раскрытой компанией по кибербезопасности Cybereason под названием <a>Operation Cuckoobees</a>, которая относится к кампании по краже интеллектуальной собственности, нацеленной на технологические и производственные компании, расположенные в Восточной Азии, Западной Европе и Северной Америке.
Отправной точкой цепочки атак является использование законного исполняемого файла, связанного с VMware Tools ("vmtoolsd.exe"), для создания запланированной задачи с помощью "<a>schtasks.exe</a>" и развертывания файла с именем "cc.bat" на удаленном компьютере.
В настоящее время неизвестно, как вредоносный код попал в систему vmtoolsd.exe, хотя есть подозрение, что он мог быть связан с использованием внешних серверов.
Пакетный скрипт предназначен для сбора системной информации и запуска второй запланированной задачи на зараженном хосте, который, в свою очередь, запускает другой пакетный файл с тем же именем ("cc.bat"), чтобы в конечном итоге запустить вредоносную программу UNAPIMON.
"Вторая cc.bat примечательна тем, что использует службу, которая загружает несуществующую библиотеку, для побочной загрузки вредоносной библиотеки DLL", - поясняется в So. "В данном случае это сервис SessionEnv".
Это открывает путь для выполнения программы TSMSISrv.DLL, которая отвечает за удаление другого файла DLL (например, UNAPIMON) и внедрение этой же библиотеки DLL в cmd.exe. Одновременно файл DLL также внедряется в SessionEnv для обхода защиты.
Кроме того, интерпретатор команд Windows предназначен для выполнения команд, поступающих с другого компьютера, что, по сути, превращает его в бэкдор.
Простое вредоносное ПО на базе C ++, UNAPIMON оснащено для предотвращения мониторинга дочерних процессов путем использования библиотеки Microsoft с открытым исходным кодом под названием Detours для отключения критически важных функций API, тем самым избегая обнаружения в изолированных средах, которые реализуют мониторинг API посредством перехвата.
Компания по кибербезопасности охарактеризовала вредоносное ПО как оригинальное, отметив "мастерство автора в программировании и креативность", а также использование готовой библиотеки для выполнения вредоносных действий.
"Earth Freybug существует уже довольно давно, и было замечено, что их методы со временем эволюционируют", - заявили в Trend Micro.
"Эта атака также демонстрирует, что даже простые методы могут быть эффективно использованы при правильном применении. Внедрение этих методов в существующую схему атаки затрудняет обнаружение атаки".
"Earth Freybug - это группа киберугроз, действующая как минимум с 2012 года и занимающаяся шпионажем и финансово мотивированной деятельностью", - сказал в опубликованном сегодня отчете исследователь безопасности Trend Micro Кристофер Со.
"Было замечено, что она нацелена на организации из различных секторов в разных странах".
Компания по кибербезопасности описала Earth Freybug как подразделение APT41, связанной с Китаем группы кибершпионажа, которая также отслеживается как Axiom, Brass Typhoon (ранее Barium), Bronze Atlas, HOODOO, Wicked Panda и Winnti.
Известно, что противоборствующий коллектив полагается на комбинацию бинарных файлов, работающих вне сети (LOLBins), и специализированного вредоносного ПО для реализации своих целей. Также используются такие методы, как перехват библиотеки динамических ссылок (DLL) и отключение интерфейса прикладного программирования (API).
Trend Micro заявила, что эта деятельность тактически перекликается с группой, ранее раскрытой компанией по кибербезопасности Cybereason под названием <a>Operation Cuckoobees</a>, которая относится к кампании по краже интеллектуальной собственности, нацеленной на технологические и производственные компании, расположенные в Восточной Азии, Западной Европе и Северной Америке.
Отправной точкой цепочки атак является использование законного исполняемого файла, связанного с VMware Tools ("vmtoolsd.exe"), для создания запланированной задачи с помощью "<a>schtasks.exe</a>" и развертывания файла с именем "cc.bat" на удаленном компьютере.
В настоящее время неизвестно, как вредоносный код попал в систему vmtoolsd.exe, хотя есть подозрение, что он мог быть связан с использованием внешних серверов.
Пакетный скрипт предназначен для сбора системной информации и запуска второй запланированной задачи на зараженном хосте, который, в свою очередь, запускает другой пакетный файл с тем же именем ("cc.bat"), чтобы в конечном итоге запустить вредоносную программу UNAPIMON.
"Вторая cc.bat примечательна тем, что использует службу, которая загружает несуществующую библиотеку, для побочной загрузки вредоносной библиотеки DLL", - поясняется в So. "В данном случае это сервис SessionEnv".
Это открывает путь для выполнения программы TSMSISrv.DLL, которая отвечает за удаление другого файла DLL (например, UNAPIMON) и внедрение этой же библиотеки DLL в cmd.exe. Одновременно файл DLL также внедряется в SessionEnv для обхода защиты.
Кроме того, интерпретатор команд Windows предназначен для выполнения команд, поступающих с другого компьютера, что, по сути, превращает его в бэкдор.
Простое вредоносное ПО на базе C ++, UNAPIMON оснащено для предотвращения мониторинга дочерних процессов путем использования библиотеки Microsoft с открытым исходным кодом под названием Detours для отключения критически важных функций API, тем самым избегая обнаружения в изолированных средах, которые реализуют мониторинг API посредством перехвата.
Компания по кибербезопасности охарактеризовала вредоносное ПО как оригинальное, отметив "мастерство автора в программировании и креативность", а также использование готовой библиотеки для выполнения вредоносных действий.
"Earth Freybug существует уже довольно давно, и было замечено, что их методы со временем эволюционируют", - заявили в Trend Micro.
"Эта атака также демонстрирует, что даже простые методы могут быть эффективно использованы при правильном применении. Внедрение этих методов в существующую схему атаки затрудняет обнаружение атаки".
