ჩინელი ჰაკერები UNAPIMON ვირუსს ააქტიურებენ

„Earth Freybug არის კიბერსაფრთხის ჯგუფი, რომელიც ფოკუსირებულია ჯაშუშობასა და ფინანსურად მოტივირებულ საქმიანობაზე“, - განაცხადა Trend Micro უსაფრთხოების ანალიტიკოსმა კრისტოფერ სომ დღეს გამოქვეყნებულ ანგარიშში. ჯგუფი აქტიურია მინიმუმ 2012 წლიდან.

"დაფიქსირდა, რომ მიზნად ისახავს ორგანიზაციებს სხვადასხვა სექტორიდან სხვადასხვა ქვეყანაში."

კიბერუსაფრთხოების კომპანიის თანახმად, Earth Freybug არის APT41-ის კომპონენტი რომელიც ჩინეთთან აფილირებული კიბერჯაშუშური ორგანიზაციაა, იგი ასევე ცნობილია სახელებით Axiom, Brass Typhoon, Barium, HOODOO, Wicked Panda და Winnti.

მიზნების მისაღწევად, ჰაკერული ჯგუფი ეყრდნობა მავნე პროგრამისა და ბინარების (LOLBins) ნაზავს. ასევე გამოიყენება ტექნიკები, როგორიცაა აპლიკაციის პროგრამირების ინტერფეისის (API) გაუქმება და დინამიური ბმულის ბიბლიოთეკის (DLL) გატაცება.

Trend Micro-ს თანახმად, აქტივობას აქვს ტაქტიკური მსგავსება იმ კლასტერთან, რომელიც კიბერუსაფრთხოების ფირმა Cybereason-მა ადრე გამოავლინა სახელით Operation CuckooBees. Operation CuckooBees არის ინტელექტუალური საკუთრების ქურდობის კამპანია, რომელიც მიზნად ისახავს წარმოებისა და ტექნოლოგიების კომპანიებს ჩრდილოეთ ამერიკაში, დასავლეთ ევროპასა და აღმოსავლეთ აზიაში.

მოქმედი VMware Tools შესრულებადი ("vmtoolsd.exe") გამოყენება დაგეგმილი ამოცანის დასაყენებლად "schtasks.exe"-სთან და პროგრამის "cc.bat" დისტანციურ კომპიუტერზე გასაშვებად არის პირველი ნაბიჯი თავდასხმის ჯაჭვში.

UNAPIMON არის მარტივი C++-ზე დაფუძნებული ვირუსი, რომელიც იყენებს ღია კოდის Microsoft-ის მოწყობილობას სახელწოდებით Detours API გადამწყვეტი ფუნქციების გასაუქმებლად. ეს საშუალებას აძლევს მას თავიდან აიცილოს გამოვლენა სავარჯიშოში სიტუაციებში, სადაც Hooking გამოიყენება API მონიტორინგისთვის.

Batch სკრიპტის მიზანია შეაგროვოს სისტემის მონაცემები და დაიწყოს მეორე დაგეგმილი დავალება კომპრომეტირებული ჰოსტზე. ეს მეორე ამოცანა შემდეგ იწყებს სხვა სერიულ ფაილს სახელწოდებით "cc.bat" და საბოლოოდ უშვებს UNAPIMON ვირუსს.

ეს ხსნის TSMSISrv.DLL-ს გასაშვებად, რომელიც პასუხისმგებელია UNAPIMON-ის ჩამოგდებაზე და იგივე DLL-ის შეყვანაზე cmd.exe-ში, სხვა DLL ფაილებთან ერთად. თავდაცვის თავიდან აცილების მიზნით, DLL ფაილი ასევე ერთდროულად შეჰყავთ SessionEnv-ში.

წყარო: The Hacker News