Οι hackers που παρακολουθούνται ως Earth Freybug χρησιμοποιούν ένα νέο malware που ονομάζεται UNAPIMON.
“Η Earth Freybug είναι μια ομάδα απειλών στον κυβερνοχώρο που δραστηριοποιείται τουλάχιστον από το 2012 και επικεντρώνεται στην κατασκοπεία και σε δραστηριότητες με οικονομικά κίνητρα“, δήλωσε ο ερευνητής ασφαλείας της Trend Micro, Christopher So.
Οι συγκεκριμένοι hackers στοχεύουν οργανισμούς από διάφορους τομείς σε διάφορες χώρες.
Η Trend Micro πιστεύει ότι η Earth Freybug ανήκει στην APT41, μια ομάδα κυβερνοκατασκοπείας που συνδέεται με την Κίνα. Η APT41 είναι, επίσης, γνωστή ως Axiom, Brass Typhoon (πρώην Barium), Bronze Atlas, HOODOO, Wicked Panda και Winnti.
TikTok: Μήνυση από 13 πολιτείες γιατί βλάπτει τα παιδιά
Τι πρέπει να ελέγξετε πριν σαρώσετε ένα QR code;
Εξερεύνηση του Άρη από ανθρώπους έως το 2035
Δείτε επίσης: Το Vultur malware για Android παριστάνει τo McAfee Security
Οι hackers βασίζονται συνήθως σε έναν συνδυασμό living-off-the-land binaries (LOLBins) και custom malware για την υλοποίηση των κακόβουλων δραστηριοτήτων τους. Επίσης υιοθετούν τεχνικές όπως το dynamic-link library (DLL) hijacking και το application programming interface (API) unhooking.
Η Trend Micro είπε ότι οι επιθέσεις μοιάζουν αρκετά με τις επιθέσεις μιας ομάδας που είχε αναφέρει η εταιρεία κυβερνοασφάλειας Cybereason, με το όνομα Operation Cuckoobees. Αυτή η ομάδα στοχεύει, κυρίως στην κλοπή πνευματικής ιδιοκτησίας από τεχνολογικές και κατασκευαστικές εταιρείες στην Ανατολική Ασία, τη Δυτική Ευρώπη και τη Βόρεια Αμερική.
Πώς λειτουργεί η επίθεση;
Η επίθεση ξεκινά με χρήση ενός νόμιμου εκτελέσιμου αρχείου που σχετίζεται με το VMware Tools (“vmtoolsd.exe”), για τη δημιουργία ενός scheduled task χρησιμοποιώντας το “schtasks.exe” και την ανάπτυξη ενός αρχείου με το όνομα “cc.bat” στο απομακρυσμένο μηχάνημα.
Προς το παρόν δεν είναι γνωστό πώς έγινε η εισαγωγή του κακόβουλου κώδικα στο vmtoolsd.exe.
Το batch script συγκεντρώνει πληροφορίες συστήματος και εκκινεί ένα δεύτερο scheduled task στον μολυσμένο υπολογιστή, το οποίο με τη σειρά του, εκτελεί ένα άλλο batch file με το ίδιο όνομα (“cc.bat”) για να εκτελέσει τελικά το UNAPIMON malware.
Δείτε επίσης: Κακόβουλες διαφημίσεις διανέμουν info-stealer malware σε MacOS
“Το δεύτερο cc.bat είναι αξιοσημείωτο για την αξιοποίηση μιας υπηρεσίας που φορτώνει μια ανύπαρκτη βιβλιοθήκη για να φορτώσει ένα κακόβουλο DLL“, εξήγησε ο So. “Σε αυτήν την περίπτωση, η υπηρεσία είναι η SessionEnv“.
Η παραπάνω διαδικασία οδηγεί στην εκτέλεση του TSMSISrv.DLL που είναι υπεύθυνο για την εγκατάσταση ενός άλλου αρχείου DLL (π.χ. UNAPIMON) και την εισαγωγή αυτού του DLL στο cmd.exe. Ταυτόχρονα, το αρχείο DLL εισάγεται επίσης στο SessionEnv για να αποφύγει την άμυνα.
Επιπλέον, ο Windows command interpreter έχει σχεδιαστεί για να εκτελεί εντολές που προέρχονται από άλλο μηχάνημα, μετατρέποντάς το ουσιαστικά σε backdoor.
Το UNAPIMON malware αποτρέπει την παρακολούθηση child processes χρησιμοποιώντας ένα open-source Microsoft library που ονομάζεται Detours για να αποσυνδέσει κρίσιμες λειτουργίες API. Με αυτόν τον τρόπο, αποφεύγει τον εντοπισμό σε περιβάλλοντα sandbox που εφαρμόζουν παρακολούθηση API μέσω hooking.
Η εταιρεία χαρακτήρισε το κακόβουλο λογισμικό ως πρωτότυπο, λόγω της δημιουργικότητας στον κώδικα και λόγω της χρήσης ενός off-the-shelf library για την πραγματοποίηση κακόβουλων ενεργειών.
Σύμφωνα με την Trend Micro, οι hackers Earth Freybug είναι ενεργοί πολλά χρόνια, αλλά οι μέθοδοί τους εξελίσσονται. “Αυτή η επίθεση δείχνει ότι ακόμη και απλές τεχνικές μπορούν να χρησιμοποιηθούν αποτελεσματικά όταν εφαρμόζονται σωστά. Η εφαρμογή αυτών των τεχνικών σε ένα υπάρχον μοτίβο επίθεσης καθιστά την επίθεση πιο δύσκολη την ανακάλυψη“.
Δείτε επίσης: Malware στοχεύει gamers – Η Activision Blizzard συνιστά 2FA
Η πρώτη και πιο βασική μέθοδος προστασίας από κακόβουλο λογισμικό είναι η χρήση antivirus προγραμμάτων. Αυτά τα προγράμματα παρέχουν προστασία σε πραγματικό χρόνο, σαρώνοντας συνεχώς τον υπολογιστή για την ανίχνευση και αφαίρεση κακόβουλου λογισμικού.
Η ενημέρωση του λειτουργικού συστήματος και των εφαρμογών είναι επίσης κρίσιμη για την προστασία από το κακόβουλο λογισμικό. Οι ενημερώσεις συχνά περιλαμβάνουν διορθώσεις ασφαλείας που κλείνουν τις τρύπες που μπορεί να εκμεταλλευτεί το κακόβουλο λογισμικό.
Τέλος, η εκπαίδευση των χρηστών για τους κινδύνους του κακόβουλου λογισμικού και τις τακτικές που χρησιμοποιούνται για τη διανομή του, μπορεί να είναι ιδιαίτερα αποτελεσματική. Αυτό μπορεί να περιλαμβάνει την εκμάθηση των σημάτων της απάτης μέσω email, της απάτης μέσω web και άλλων τακτικών που χρησιμοποιούνται από τους κακοποιούς.
Πηγή: thehackernews.com