Araştırmacılar, Çin bağlantılı bir tehdit aktörü olan Earth Freybug’un, kuruluşların kötü amaçlı faaliyetlere karşı Windows uygulama programlama arayüzlerini (API’ler) izlemek için uygulamaya koymuş olabileceği mekanizmaları atlamak için yeni bir kötü amaçlı yazılım aracı kullandığını tespit etti.
Trend Micro’daki araştırmacıların keşfedip UNAPIMON adını verdiği kötü amaçlı yazılım, güvenlik sorunları açısından API ile ilgili süreçleri incelemek ve analiz etmek için Windows API’lerindeki kancaları devre dışı bırakarak çalışıyor.
API’lerin kancasını kaldırma
Amaç, kötü amaçlı yazılımın oluşturduğu süreçlerin antivirüs araçları, korumalı alan oluşturma ürünleri ve diğer tehdit algılama mekanizmaları tarafından algılanmasını veya denetlenmesini önlemektir.
“UNAPIMON’un davranışına ve saldırıda nasıl kullanıldığına baktığımızda, birincil amacının herhangi bir alt süreçteki kritik API işlevlerinin kilidini açmak olduğu sonucunu çıkarabiliriz.” Trend Micro bu hafta bir raporda şunları söyledi:.
Güvenlik sağlayıcısı, “Korumalı alan oluşturma sistemleri gibi kancalama yoluyla API izleme uygulayan ortamlar için UNAPIMON, alt süreçlerin izlenmesini engelleyecektir” dedi. Bu, kötü amaçlı programların tespit edilmeden çalışmasına olanak tanır.
Trend Micro, Earth Freybug’u, Winnti, Wicked Panda, Barium ve Suckfly olarak çeşitli şekillerde anılan Çinli tehdit gruplarından oluşan bir kolektif olan APT41’in bir alt kümesi olarak değerlendirdi. Grubun, PowerShell ve Windows Yönetim Araçları (WMI) gibi yasal sistem ikili dosyalarını manipüle eden bir dizi özel araç ve arazide yaşayan ikili dosyalar (LOLbin’ler) kullanmasıyla tanınıyor.
APT41’in kendisi en az 2012’den beri aktiftir ve çok sayıda siber casusluk kampanyasıyla, tedarik zinciri saldırılarıyla ve mali amaçlı siber suçlarla bağlantılıdır. 2022’de Cybereason’daki araştırmacılar tehdit aktörünü şu şekilde tanımladı: Büyük miktarda ticari sır ve fikri mülkiyetin çalınması Yıllardır ABD ve Asya’daki şirketlerden. Kurbanları arasında üretim ve BT organizasyonları da yer alıyor. hükümetlerVe kritik altyapı ABD, Doğu Asya ve Avrupa’daki hedefler. 2020 yılında ABD hükümeti grupla ilişkili olduğuna inanılan beş üyeyi suçladı dünya çapında 100’den fazla kuruluşa yönelik saldırılardaki rolleri nedeniyle.
Saldırı Zinciri
Trend Micro’nun gözlemlediği son olayda, Earth Freybug aktörleri UNAPIMON’u hedef sistemlere ulaştırmak için çok aşamalı bir yaklaşım kullandı. İlk aşamada saldırganlar, konuk sanal makine ile temeldeki ana makine arasındaki iletişimi kolaylaştırmak için bir dizi yardımcı programla ilişkili bir işlem olan vmstools.exe’ye kaynağı bilinmeyen kötü amaçlı kod enjekte etti. Kötü amaçlı kod, ana makinede bir toplu komut dosyası (cc.bat) çalıştırmak için ana makinede zamanlanmış bir görev oluşturdu.
Toplu iş dosyasının görevi, bir dizi sistem bilgisini toplamak ve virüslü ana bilgisayarda bir cc.bat dosyasını çalıştırmak için ikinci bir zamanlanmış görev başlatmaktır. İkinci toplu komut dosyası, uzak masaüstü hizmetlerini yönetmeye yönelik bir Windows hizmeti olan SessionEnv’den yararlanarak virüslü ana bilgisayara kötü amaçlı bir dinamik bağlantı kitaplığını (DLL) yandan yükler. Trend Micro, “İkinci cc.bat, kötü amaçlı bir DLL’yi yandan yüklemek için var olmayan bir kitaplığı yükleyen bir hizmetten yararlanma konusunda dikkat çekicidir. Bu durumda hizmet SessionEnv’dir” dedi.
Kötü amaçlı DLL daha sonra UNAPIMON’u savunmadan kaçınma amacıyla Windows hizmetine ve ayrıca komutları sessizce yürüten bir cmd.exe işlemine bırakır. Trend Micro, “UNAPIMON’un kendisi oldukça basit: C++ ile yazılmış bir DLL kötü amaçlı yazılımıdır ve ne paketlenir ne de gizlenir; tek bir dize dışında şifrelenmez” dedi. Onu “tuhaf” kılan şey, kötü amaçlı yazılımın kötü amaçlı işlemlerinin tehdit algılama araçlarına görünmez kalmasını sağlamak için API’lerin kancasını kaldıran savunmadan kaçınma tekniğidir. Trend Micro, “Tipik senaryolarda, kancayı takan kötü amaçlı yazılımdır. Ancak bu durumda tam tersi oluyor” dedi.