Um agrupamento de atividades ameaçadoras rastreado como Earth Freybug foi observado utilizando um novo malware chamado UNAPIMON para operar de forma discreta.
"Earth Freybug é um grupo de ciberameaças ativo desde pelo menos 2012, focado em espionagem e atividades com motivações financeiras", disse o pesquisador de segurança da Trend Micro, Christopher So, em um relatório publicado hoje.
"Foi observado que o grupo visa organizações de diversos setores em diferentes países."
A firma de cibersegurança descreveu o Earth Freybug como um subconjunto dentro do APT41, um grupo de espionagem cibernética vinculado à China, que também é rastreado como Axiom, Brass Typhoon (anteriormente Barium), Bronze Atlas, HOODOO, Wicked Panda e Winnti.
O coletivo adversário é conhecido por depender de uma combinação de binários que vivem fora da terra (LOLBins) e malware personalizado para realizar seus objetivos.
Técnicas como sequestro de biblioteca de vínculo dinâmico (DLL) e desvinculação de interface de programação de aplicativos (API) também são adotadas.
A Trend Micro disse que a atividade compartilha sobreposições táticas com um agrupamento previamente divulgado pela empresa de cibersegurança Cybereason sob o nome Operação CuckooBees, que se refere a uma campanha de roubo de propriedade intelectual visando empresas de tecnologia e manufatura localizadas na Ásia Oriental, Europa Ocidental e América do Norte.
O ponto de partida da cadeia de ataque é o uso de um executável legítimo associado ao VMware Tools ("vmtoolsd.exe") para criar uma tarefa agendada usando "schtasks.exe" e implantar um arquivo chamado "cc.bat" na máquina remota.
Atualmente, não se sabe como o código malicioso foi injetado no vmtoolsd.exe, embora se suspeite que isso possa ter envolvido a exploração de servidores voltados para o exterior.
O script em lote é projetado para acumular informações do sistema e iniciar uma segunda tarefa agendada no host infectado, que, por sua vez, executa outro arquivo em lote com o mesmo nome ("cc.bat") para finalmente executar o malware UNAPIMON.
"O segundo cc.bat é notável por aproveitar um serviço que carrega uma biblioteca inexistente para carregar lateralmente uma DLL maliciosa", explicou So.
"Neste caso, o serviço é o SessionEnv."
Isso abre caminho para a execução do TSMSISrv.DLL que é responsável por soltar outro arquivo DLL (ou seja, UNAPIMON) e injetar esse mesmo DLL no cmd.exe.
Simultaneamente, o arquivo DLL também é injetado no SessionEnv para evasão de defesa.
Além disso, o interpretador de comandos do Windows é projetado para executar comandos vindos de outra máquina, transformando-o essencialmente em um backdoor.
Um malware simples baseado em C++, o UNAPIMON é equipado para impedir que processos filhos sejam monitorados, aproveitando uma biblioteca de código aberto da Microsoft chamada Detours para desvincular funções críticas de API, evitando, assim, a detecção em ambientes sandbox que implementam monitoramento de API através de hooking.
A empresa de cibersegurança caracterizou o malware como original, destacando a "habilidade de codificação e criatividade" do autor, bem como o uso de uma biblioteca pronta para realizar ações maliciosas.
"O Earth Freybug existe há bastante tempo, e seus métodos têm sido vistos evoluindo ao longo do tempo", disse a Trend Micro.
"Este ataque também demonstra que mesmo técnicas simples podem ser usadas efetivamente quando aplicadas corretamente.
Implementar essas técnicas em um padrão de ataque existente torna o ataque mais difícil de ser descoberto."
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...