Çin Bağlantılı Bilgisayar Korsanları, Gizli Operasyonlar için Yeni 'UNAPIMON' Kötü Amaçlı Yazılım Dağıtıyor
Earth Freybug olarak izlenen bir tehdit etkinliği kümesinin, radarın altında uçmak için UNAPIMON adlı yeni bir kötü amaçlı yazılım kullandığı gözlemlendi.
Trend Micro güvenlik araştırmacısı Christopher So, bugün yayınlanan bir raporda, "Earth Freybug, en az 2012'den beri aktif olan ve casusluk ve finansal olarak motive edilmiş faaliyetlere odaklanan bir siber tehdit grubudur" dedi.
"Farklı ülkelerde çeşitli sektörlerden kuruluşları hedef aldığı gözlemlendi."
Siber güvenlik firması, Earth Freybug'u Axiom, Brass Typhoon (eski adıyla Barium), Bronze Atlas, HOODOO, Wicked Panda ve Winnti olarak da izlenen Çin bağlantılı bir siber casusluk grubu olan APT41'in bir alt kümesi olarak tanımladı.
Düşman kolektifin, hedeflerini gerçekleştirmek için arazi dışında yaşayan ikili dosyalar (LOLBins) ve özel kötü amaçlı yazılımların bir kombinasyonuna güvendiği bilinmektedir. Ayrıca, dinamik bağlantı kitaplığı (DLL) ele geçirme ve uygulama programlama arabirimi (API) kancasını kaldırma gibi teknikler de benimsenmiştir.
Trend Micro, faaliyetin daha önce siber güvenlik şirketi Cybereason tarafından Doğu Asya, Batı Avrupa ve Kuzey Amerika'da bulunan teknoloji ve üretim şirketlerini hedef alan bir fikri mülkiyet hırsızlığı kampanyasına atıfta bulunan Operation CuckooBees adı altında açıklanan bir küme ile taktiksel örtüşmeler paylaştığını söyledi.
Saldırı zincirinin başlangıç noktası, "schtasks.exe" kullanarak zamanlanmış bir görev oluşturmak ve uzak makinede "cc.bat" adlı bir dosya dağıtmak için VMware Tools ("vmtoolsd.exe") ile ilişkili meşru bir yürütülebilir dosyanın kullanılmasıdır.
Kötü amaçlı kodun vmtoolsd.exe'e nasıl enjekte edildiği şu anda bilinmiyor, ancak dışarıya dönük sunucuların istismarını içerebileceğinden şüpheleniliyor.
Toplu komut dosyası, sistem bilgilerini toplamak ve virüslü ana bilgisayarda ikinci bir zamanlanmış görev başlatmak için tasarlanmıştır ve bu da UNAPIMON kötü amaçlı yazılımını çalıştırmak için aynı ada ("cc.bat") sahip başka bir toplu iş dosyası yürütür.
"İkinci cc.bat, kötü amaçlı bir DLL'yi yandan yüklemek için var olmayan bir kitaplığı yükleyen bir hizmetten yararlanması açısından dikkate değerdir," diye açıkladı So. "Bu durumda, hizmet SessionEnv'dir."
Bu, başka bir DLL dosyasını (yani UNAPIMON) bırakmaktan ve aynı DLL'yi cmd.exe'e eklemekten sorumlu olan TSMSISrv.DLL yürütülmesinin önünü açar. Aynı zamanda, DLL dosyası da savunmadan kaçınmak için SessionEnv'e enjekte edilir.
Bunun da ötesinde, Windows komut yorumlayıcısı, başka bir makineden gelen komutları yürütmek ve esasen onu bir arka kapıya dönüştürmek için tasarlanmıştır.
Basit bir C++ tabanlı kötü amaçlı yazılım olan UNAPIMON, kritik API işlevlerinin kancasını kaldırmak için Detours adlı açık kaynaklı bir Microsoft kitaplığından yararlanarak alt işlemlerin izlenmesini önlemek için donatılmıştır ve böylece kancalama yoluyla API izleme uygulayan korumalı alan ortamlarında tespit edilmekten kaçınır.
Siber güvenlik şirketi, kötü amaçlı yazılımı orijinal olarak nitelendirdi ve yazarın "kodlama becerisi ve yaratıcılığının" yanı sıra kötü niyetli eylemler gerçekleştirmek için kullanıma hazır bir kitaplık kullandıklarını belirtti.
Trend Micro, "Earth Freybug oldukça uzun bir süredir ortalıkta dolaşıyor ve yöntemlerinin zaman içinde geliştiği görüldü" dedi.
"Bu saldırı aynı zamanda basit tekniklerin bile doğru uygulandığında etkili bir şekilde kullanılabileceğini gösteriyor. Bu teknikleri mevcut bir saldırı düzenine uygulamak, saldırının keşfedilmesini zorlaştırır."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı