Hackers Vinculados à China Utilizam Novo Malware 'UNAPIMON' em Operações Sigilosas
3 de Abril de 2024

Um agrupamento de atividades ameaçadoras rastreado como Earth Freybug foi observado utilizando um novo malware chamado UNAPIMON para operar de forma discreta.

"Earth Freybug é um grupo de ciberameaças ativo desde pelo menos 2012, focado em espionagem e atividades com motivações financeiras", disse o pesquisador de segurança da Trend Micro, Christopher So, em um relatório publicado hoje.

"Foi observado que o grupo visa organizações de diversos setores em diferentes países."

A firma de cibersegurança descreveu o Earth Freybug como um subconjunto dentro do APT41, um grupo de espionagem cibernética vinculado à China, que também é rastreado como Axiom, Brass Typhoon (anteriormente Barium), Bronze Atlas, HOODOO, Wicked Panda e Winnti.

O coletivo adversário é conhecido por depender de uma combinação de binários que vivem fora da terra (LOLBins) e malware personalizado para realizar seus objetivos.

Técnicas como sequestro de biblioteca de vínculo dinâmico (DLL) e desvinculação de interface de programação de aplicativos (API) também são adotadas.

A Trend Micro disse que a atividade compartilha sobreposições táticas com um agrupamento previamente divulgado pela empresa de cibersegurança Cybereason sob o nome Operação CuckooBees, que se refere a uma campanha de roubo de propriedade intelectual visando empresas de tecnologia e manufatura localizadas na Ásia Oriental, Europa Ocidental e América do Norte.

O ponto de partida da cadeia de ataque é o uso de um executável legítimo associado ao VMware Tools ("vmtoolsd.exe") para criar uma tarefa agendada usando "schtasks.exe" e implantar um arquivo chamado "cc.bat" na máquina remota.

Atualmente, não se sabe como o código malicioso foi injetado no vmtoolsd.exe, embora se suspeite que isso possa ter envolvido a exploração de servidores voltados para o exterior.

O script em lote é projetado para acumular informações do sistema e iniciar uma segunda tarefa agendada no host infectado, que, por sua vez, executa outro arquivo em lote com o mesmo nome ("cc.bat") para finalmente executar o malware UNAPIMON.

"O segundo cc.bat é notável por aproveitar um serviço que carrega uma biblioteca inexistente para carregar lateralmente uma DLL maliciosa", explicou So.

"Neste caso, o serviço é o SessionEnv."

Isso abre caminho para a execução do TSMSISrv.DLL que é responsável por soltar outro arquivo DLL (ou seja, UNAPIMON) e injetar esse mesmo DLL no cmd.exe.

Simultaneamente, o arquivo DLL também é injetado no SessionEnv para evasão de defesa.

Além disso, o interpretador de comandos do Windows é projetado para executar comandos vindos de outra máquina, transformando-o essencialmente em um backdoor.

Um malware simples baseado em C++, o UNAPIMON é equipado para impedir que processos filhos sejam monitorados, aproveitando uma biblioteca de código aberto da Microsoft chamada Detours para desvincular funções críticas de API, evitando, assim, a detecção em ambientes sandbox que implementam monitoramento de API através de hooking.

A empresa de cibersegurança caracterizou o malware como original, destacando a "habilidade de codificação e criatividade" do autor, bem como o uso de uma biblioteca pronta para realizar ações maliciosas.

"O Earth Freybug existe há bastante tempo, e seus métodos têm sido vistos evoluindo ao longo do tempo", disse a Trend Micro.

"Este ataque também demonstra que mesmo técnicas simples podem ser usadas efetivamente quando aplicadas corretamente.

Implementar essas técnicas em um padrão de ataque existente torna o ataque mais difícil de ser descoberto."

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...