Trend Micro проанализировала кибершпионскую атаку, которую компания приписывает Earth Freybug, подгруппе APT41 (Brass Typhoon). По данным Trend Micro, Earth Freybug действует как минимум с 2012 года, и эта связанная с Китаем группа активно занимается шпионажем и финансово мотивированными атаками. Earth Freybug использует различные инструменты, такие как LOLBins и пользовательские вредоносные программы, нацеленные на организации по всему миру. В атаке использовались такие приемы, как захват динамических библиотек ссылок (DLL) и отсоединение API, чтобы избежать мониторинга новой вредоносной программы под названием UNAPIMON. UNAPIMON уклоняется от обнаружения, предотвращая мониторинг дочерних процессов.
В ходе атаки создавались удаленные запланированные задачи и выполнялись разведывательные команды для сбора системной информации. Затем запускался бэкдор с помощью побочной загрузки DLL через сервис SessionEnv, который загружал вредоносную DLL. UNAPIMON, внедренная DLL, использует API hooking, чтобы обойти мониторинг и выполнить вредоносные команды незамеченными, демонстрируя изощренность злоумышленников.
Indicators of Compromise
SHA256
- 62ad0407a9cce34afb428dee972292d2aa23c78cbc1a44627cb2e8b945195bc2