Известную китайскую хакерскую группировку Earth Freybug обвинили в проведении крупномасштабных кибератак против западных организации с применением вредоносного программного обеспечения UNAPIMON, которое, как отмечают специалисты по информационной безопасности, успешно скрывается от обнаружения всеми современными средствами защиты. Соответствующую информацию накануне опубликовала профильная компания по информационной безопасности Trend Micro.
По словам Кристофера Со, эксперты по кибербезопасности Trend Micro, Earth Freybug — это группа киберугроз, действующая как минимум с 2012 года и специализирующаяся на шпионаже и финансово мотивированной деятельности. Аналитик также отметил, что это китайская хакерская группировка на данный момент нацелена на организации из различных секторов деятельности в разных странах мира.
В компании Trend Micro также отмечают, что хакерская группировка Earth Freybug выступает в качестве подразделения группы APT41, якобы связанной с правительством Китая группой кибершпионажа, которую также отслеживают как Axiom, Brass Typhoon (ранее Barium), Bronze Atlas, HOODOO, Wicked Panda и Winnti.
Специалисты рассказали, что хакерская группа Earth Freybug для достижения своих целей полагается на комбинацию живых исполняемых файлов (LOLBins) и специального вредоносного ПО. Также применяются такие методы, как перехват библиотеки динамической компоновки (DLL) и отсоединение интерфейса прикладного программирования (API).
В Trend Micro заявили, что эта деятельность имеет тактическое сходство с кластером, ранее раскрытым компанией кибербезопасности Cybereason под названием Operation CuckooBees, который относится к кампании по краже интеллектуальной собственности, нацеленной на технологические и производственные компании, расположенные в Восточной Азии, Западной Европе и Северной Америке.
В Trend Micro уточнили, что простое вредоносное ПО на основе C++, UNAPIMON, которое применяется китайскими хакерами, способно предотвратить мониторинг дочерних процессов за счёт использования библиотеки Microsoft с открытым исходным кодом под названием Detours для отключения критически важных функций API, тем самым избегая обнаружения в изолированных средах, которые реализуют мониторинг API посредством перехвата.
Оригинал публикации на сайте CISOCLUB: "Китайских хакеров обвинили в проведении «скрытых операций» с применением нового вредоносного UNAPIMON".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.