Şu şekilde izlenen bir tehdit etkinliği kümesi: Dünya Freybug UNAPIMON adlı yeni bir kötü amaçlı yazılımın radarın altından uçmak için kullanıldığı gözlemlendi.
Trend Micro güvenlik araştırmacısı Christopher So, “Earth Freybug, casusluk ve mali amaçlı faaliyetlere odaklanan, en az 2012’den beri aktif olan bir siber tehdit grubudur.” söz konusu bugün yayınlanan bir raporda.
“Farklı ülkelerdeki çeşitli sektörlerden kuruluşları hedef aldığı gözlemlendi.”
Siber güvenlik firması Earth Freybug’u, Axiom, Brass Typhoon (eski adıyla Barium), Bronze Atlas, HOODOO, Wicked Panda ve Winnti olarak da takip edilen Çin bağlantılı bir siber casusluk grubu olan APT41’in bir alt kümesi olarak tanımladı.
Düşman topluluğunun, hedeflerini gerçekleştirmek için arazide yaşayan ikili dosyalar (LOLBins) ve özel kötü amaçlı yazılımların bir kombinasyonuna güvendiği biliniyor. Ayrıca dinamik bağlantı kitaplığı (DLL) ele geçirme ve uygulama programlama arayüzü (API) kancasını kaldırma gibi teknikler de benimsenmiştir.
Trend Micro, faaliyetin daha önce siber güvenlik şirketi Cybereason tarafından CuckooBees Operasyonu adı altında açıklanan ve Doğu Asya, Batı Avrupa ve Kuzey Amerika’da bulunan teknoloji ve üretim şirketlerini hedef alan bir fikri mülkiyet hırsızlığı kampanyasına atıfta bulunan bir kümeyle taktiksel örtüşmeler paylaştığını söyledi.
Saldırı zincirinin başlangıç noktası, VMware Tools (“vmtoolsd.exe”) ile ilişkilendirilmiş meşru bir yürütülebilir dosyanın ” kullanarak zamanlanmış bir görev oluşturmak için kullanılmasıdır.”schtasks.exe” ve uzak makineye “cc.bat” adlı bir dosyayı dağıtın.
Şu anda kötü amaçlı kodun vmtoolsd.exe dosyasına nasıl eklendiği bilinmiyor, ancak bunun harici sunucuların kötüye kullanılmasıyla ilgili olabileceğinden şüpheleniliyor.
Toplu komut dosyası, sistem bilgilerini toplamak ve etkilenen ana bilgisayarda ikinci bir zamanlanmış görevi başlatmak için tasarlanmıştır; bu görev, sonuçta UNAPIMON kötü amaçlı yazılımını çalıştırmak için aynı adla (“cc.bat”) başka bir toplu iş dosyasını yürütür.
So şöyle açıkladı: “İkinci cc.bat, kötü amaçlı bir DLL’yi yandan yüklemek için var olmayan bir kitaplığı yükleyen bir hizmetten yararlanma açısından dikkate değerdir.” “Bu durumda hizmet OturumEnv“
Bu, başka bir DLL dosyasını (örn. UNAPIMON) bırakıp aynı DLL dosyasının içine enjekte edilmesinden sorumlu olan TSMSISrv.DLL’nin yürütülmesinin yolunu açar. cmd.exe. Eş zamanlı olarak DLL dosyası da savunmadan kaçınmak için SessionEnv’e enjekte edilir.
Üstelik Windows komut yorumlayıcısı, başka bir makineden gelen komutları yürütmek, aslında onu bir arka kapıya dönüştürmek için tasarlanmıştır.
Basit bir C++ tabanlı kötü amaçlı yazılım olan UNAPIMON, adlı açık kaynaklı bir Microsoft kitaplığından yararlanarak alt süreçlerin izlenmesini önleyecek donanıma sahiptir. Sapmalar Kritik API işlevlerinin kancasını kaldırmak, böylece API izlemeyi uygulayan korumalı alan ortamlarında tespit edilmekten kaçınmak için kanca takmak.
Siber güvenlik şirketi, kötü amaçlı yazılımı orijinal olarak nitelendirdi ve yazarın “kodlama becerisi ve yaratıcılığının” yanı sıra, kötü amaçlı eylemler gerçekleştirmek için kullanıma hazır bir kitaplık kullanmasına dikkat çekti.
Trend Micro, “Earth Freybug bir süredir ortalıkta dolaşıyor ve yöntemlerinin zaman içinde geliştiği görüldü” dedi.
“Bu saldırı aynı zamanda doğru uygulandığında basit tekniklerin bile etkili bir şekilde kullanılabileceğini gösteriyor. Bu teknikleri mevcut bir saldırı modeline uygulamak, saldırının keşfedilmesini daha da zorlaştırıyor.”
