Çin 'Winnti' hackleme grubu, kötü süreçlerin tespit edilmeden çalışmasına izin vermek için Unapimon adlı daha önce belgelenmemiş bir kötü amaçlı yazılım kullanılarak bulundu.
APT41 olarak da bilinen Winnti, Çin devlet destekli bir aktör olduğuna inanılan en eski (2012'den beri aktif) ve en sofistike ve üretken siber boyama tehdit gruplarıdır.
Daha önce, hükümetler, donanım satıcıları, yazılım geliştiricileri, düşünce tankları, telekomünikasyon hizmeti sağlayıcıları ve eğitim enstitüleri de dahil olmak üzere geniş bir kuruluş yelpazesini hedef almışlardır.
Trend Micro'nun yeni bir raporu, yakından izledikleri bir işlemde kullanılan daha önce görülmemiş özel bir kötü amaçlı yazılımlara girerek siber sorumluluk saldırısını 'Earth Freybug' adını verdikleri bir kümeye atfetiyor.
Saldırı, ağ yapılandırmaları ve kullanıcı detayları da dahil olmak üzere sistem bilgilerini toplayan bir toplu iş dosyası çalıştırmak için uzaktan planlanmış bir görev yürüten meşru VMware Tools vmtoolsd.exe işlemine enjekte edilen kötü amaçlı bir işlemle başlar.
Ardından, ikinci bir toplu dosya (cc.bat), DLL yan yüklemeden (tsmsisrv.dll), seansenv hizmetinin Unapimon'u bellekte yükleyerek bir cmd.exe işlemine enjekte eder.
Unapimon, CreateProcessw API işlevini kancalamak için Microsoft Detours kullanan ve çocuk işlemlerinde kritik API işlevlerini kandırmasına izin veren DLL formunda (_ {random} .dll) teslim edilen bir C ++ kötü amaçlı yazılımdır.
Birçok güvenlik aracı kötü niyetli etkinliği izlemek için API kancası kullandığından, Unapimon'un mekanizması, tespitten kaçınmak için bu API'leri kötü niyetli bir çocuk sürecinden çıkarmasına izin verir.
Trend Micro'nun analizine göre, kaçırma mekanizması aşağıda listelendiği gibi farklı adımlarla çalışır:
Trend Micro, çoğu kötü amaçlı yazılımın çağrıları kesme, duyarlı veriler yakalamak ve yazılım davranışını değiştirmek için kanca kullandığını açıklar. Dolayısıyla, Unapimon'un kaçırma için kaçaklama yaklaşımı alışılmadık bir tekniktir.
Trend Micro, "Bu kötü amaçlı yazılımın benzersiz ve dikkate değer bir özelliği, sadeliği ve özgünlüğüdür."
"Microsoft Detours gibi mevcut teknolojilerin kullanılması, herhangi bir basit ve hazır kütüphanenin yaratıcı bir şekilde kullanılması durumunda kötü niyetli bir şekilde kullanılabileceğini gösteriyor. Bu aynı zamanda kötü amaçlı yazılım yazarının kodlama becerisini ve yaratıcılığını da gösterdi."
"Tipik senaryolarda, kancayı yapan kötü amaçlı yazılımdır. Ancak, bu durumda tam tersidir."
Ayrıca, yağma işlemini gerçekleştirmek için meşru Microsoft Detours hata ayıklama aracını kullanmak, bilinmeyen bir özel rutin kullanmaya kıyasla davranışsal tespitlerden kaçmasına izin verebilir.
Winnti bilgisayar korsanları, saldırılar yaparken kaçınma tespitinden kaçınma yöntemleriyle bilinir.
2020'de, bilgisayar korsanları bir arka kapıyı gizlemek ve kalıcı kalmak için Windows baskı işlemcilerini kötüye kullandılar. 2022'de, bilgisayar korsanları, algılamadan kaçmak için kobaltlık işaretlerini 154 küçük parçaya ayırdı, sadece piyasaya sürülmeye hazır olduklarında bir yürütülebilir dosyaya yeniden inşa etti.
Windows 11 22H2 Home and Pro 26 Haziran'a kadar önizleme güncellemelerini alın
Windows 11 KB5035942 Güncellemesi, herkes için Moment 5 özelliklerini etkinleştirir
Finlandiya, 2021 Parlamento İhlali'nin arkasındaki Apt31 hackerlarını teyit ediyor
ABD Yaptırımları APT31 Hacker'ları Kritik Altyapı Saldırılarının Arkasında
Windows PowerShell Sertifikasyonu için sadece 20 $ 'a çalışın
Kaynak: Bleeping Computer