Şu şekilde izlenen bir tehdit etkinliği kümesi: Dünya Freybug UNAPIMON adlı yeni bir kötü amaçlı yazılımın radarın altından uçmak için kullanıldığı gözlemlendi.
Trend Micro güvenlik araştırmacısı Christopher So bugün yayınlanan bir raporda, “Earth Freybug, casusluk ve mali amaçlı faaliyetlere odaklanan, en az 2012'den beri aktif olan bir siber tehdit grubudur.” dedi.
“Farklı ülkelerdeki çeşitli sektörlerden kuruluşları hedef aldığı gözlemlendi.”
Siber güvenlik firması Earth Freybug'u, Axiom, Brass Typhoon (eski adıyla Barium), Bronze Atlas, HOODOO, Wicked Panda ve Winnti olarak da takip edilen Çin bağlantılı bir siber casusluk grubu olan APT41'in bir alt kümesi olarak tanımladı.
Düşman topluluğunun, hedeflerini gerçekleştirmek için arazide yaşayan ikili dosyalar (LOLBins) ve özel kötü amaçlı yazılımların bir kombinasyonuna güvendiği biliniyor. Ayrıca dinamik bağlantı kitaplığı (DLL) ele geçirme ve uygulama programlama arayüzü (API) kancasını kaldırma gibi teknikler de benimsenmiştir.
Trend Micro, faaliyetin daha önce siber güvenlik şirketi Cybereason tarafından CuckooBees Operasyonu adı altında açıklanan ve Doğu Asya, Batı Avrupa ve Kuzey Amerika'da bulunan teknoloji ve üretim şirketlerini hedef alan bir fikri mülkiyet hırsızlığı kampanyasına atıfta bulunan bir kümeyle taktiksel örtüşmeler paylaştığını söyledi.
Saldırı zincirinin başlangıç noktası, “schtasks.exe”yi kullanarak zamanlanmış bir görev oluşturmak ve uzak makineye “cc.bat” adlı bir dosyayı dağıtmak için VMware Tools (“vmtoolsd.exe”) ile ilişkili meşru bir yürütülebilir dosyanın kullanılmasıdır. .
Şu anda kötü amaçlı kodun vmtoolsd.exe dosyasına nasıl eklendiği bilinmiyor, ancak bunun harici sunucuların kötüye kullanılmasıyla ilgili olabileceğinden şüpheleniliyor.
Toplu komut dosyası, sistem bilgilerini toplamak ve etkilenen ana bilgisayarda ikinci bir zamanlanmış görevi başlatmak için tasarlanmıştır; bu görev, sonuçta UNAPIMON kötü amaçlı yazılımını çalıştırmak için aynı adla (“cc.bat”) başka bir toplu iş dosyasını yürütür.
So şöyle açıkladı: “İkinci cc.bat, kötü amaçlı bir DLL'yi yandan yüklemek için var olmayan bir kitaplığı yükleyen bir hizmetten yararlanma açısından dikkate değerdir.” “Bu durumda hizmet SessionEnv'dir.”
Bu, başka bir DLL dosyasını (örn. UNAPIMON) bırakıp aynı DLL dosyasını cmd.exe'ye enjekte etmekten sorumlu olan TSMSISrv.DLL'nin yürütülmesinin yolunu açar. Eş zamanlı olarak DLL dosyası da savunmadan kaçınmak için SessionEnv'e enjekte edilir.
Üstelik Windows komut yorumlayıcısı, başka bir makineden gelen komutları yürütmek, aslında onu bir arka kapıya dönüştürmek için tasarlanmıştır.
Basit bir C++ tabanlı kötü amaçlı yazılım olan UNAPIMON, kritik API işlevlerinin kancasını kaldırmak için Detours adlı açık kaynaklı bir Microsoft kitaplığından yararlanarak alt süreçlerin izlenmesini önleyecek ve böylece kanca takma yoluyla API izleme uygulayan sanal alan ortamlarında tespit edilmekten kaçınacak şekilde donatılmıştır.
Siber güvenlik şirketi, kötü amaçlı yazılımı orijinal olarak nitelendirdi ve yazarın “kodlama becerisi ve yaratıcılığının” yanı sıra, kötü amaçlı eylemler gerçekleştirmek için kullanıma hazır bir kitaplık kullanmasına dikkat çekti.
Trend Micro, “Earth Freybug bir süredir ortalıkta dolaşıyor ve yöntemlerinin zaman içinde geliştiği görüldü” dedi.
“Bu saldırı aynı zamanda doğru uygulandığında basit tekniklerin bile etkili bir şekilde kullanılabileceğini gösteriyor. Bu teknikleri mevcut bir saldırı modeline uygulamak, saldırının keşfedilmesini daha da zorlaştırıyor.”