Một nhóm tin tặc được theo dõi khi Earth Freybug đã được quan sát bằng cách sử dụng một phần mềm độc hại mới có tên UNAPIMON để bay dưới radar.
"Earth Freybug là một nhóm đe dọa mạng đã hoạt động ít nhất từ năm 2012, tập trung vào hoạt động gián điệp và các hoạt động có động cơ tài chính", nhà nghiên cứu bảo mật Christopher So của Trend Micro cho biết trong một báo cáo được công bố hôm nay.
"Nó đã được quan sát để nhắm mục tiêu vào các tổ chức từ các lĩnh vực khác nhau trên các quốc gia khác nhau."
Công ty an ninh mạng đã mô tả Earth Freybug là một tập hợp con trong APT41, một nhóm gián điệp mạng liên kết với Trung Quốc cũng được theo dõi là Axiom, Brass Typhoon (trước đây là Barium), Bronze Atlas, HOODOO, Wicked Panda và Winnti.
Tập thể đối thủ được biết là dựa vào sự kết hợp của các tệp nhị phân sống ngoài đất liền (LOLBins) và phần mềm độc hại tùy chỉnh để thực hiện các mục tiêu của mình. Cũng được áp dụng là các kỹ thuật như chiếm quyền điều khiển thư viện liên kết động (DLL) và tháo giao diện lập trình ứng dụng (API).
Trend Micro cho biết hoạt động này có sự trùng lặp chiến thuật với một cụm được tiết lộ trước đây bởi công ty an ninh mạng Cybereason dưới tên Chiến dịch CuckooBees, đề cập đến một chiến dịch đánh cắp tài sản trí tuệ nhắm vào các công ty công nghệ và sản xuất ở Đông Á, Tây Âu và Bắc Mỹ.
Điểm khởi đầu của chuỗi tấn công là việc sử dụng tệp thực thi hợp pháp được liên kết với VMware Tools ("vmtoolsd.exe") để tạo tác vụ theo lịch trình bằng cách sử dụng "schtasks.exe" và triển khai tệp có tên "cc.bat" trong máy từ xa.
Hiện tại vẫn chưa biết làm thế nào mã độc được tiêm vào vmtoolsd.exe, mặc dù người ta nghi ngờ rằng nó có thể liên quan đến việc khai thác các máy chủ bên ngoài.
Tập lệnh hàng loạt được thiết kế để tích lũy thông tin hệ thống và khởi chạy tác vụ theo lịch trình thứ hai trên máy chủ bị nhiễm, từ đó, thực thi một tệp lô khác có cùng tên ("cc.bat") để cuối cùng chạy phần mềm độc hại UNAPIMON.
"cc.bat thứ hai đáng chú ý vì tận dụng một dịch vụ tải một thư viện không tồn tại để tải một DLL độc hại," So giải thích. "Trong trường hợp này, dịch vụ là SessionEnv."
Điều này mở đường cho việc thực thi các TSMSISrv.DLL chịu trách nhiệm thả một tệp DLL khác (tức là UNAPIMON) và tiêm cùng một DLL đó vào cmd.exe. Đồng thời, tệp DLL cũng được tiêm vào SessionEnv để trốn tránh phòng thủ.
Công ty an ninh mạng mô tả phần mềm độc hại là nguyên bản, chỉ ra "năng lực mã hóa và sự sáng tạo" của tác giả cũng như việc họ sử dụng một thư viện có sẵn để thực hiện các hành động độc hại.
"Earth Freybug đã xuất hiện khá lâu và phương pháp của chúng đã được nhìn thấy để phát triển theo thời gian", Trend Micro cho biết.
"Cuộc tấn công này cũng chứng minh rằng ngay cả những kỹ thuật đơn giản cũng có thể được sử dụng hiệu quả khi được áp dụng đúng cách. Việc triển khai các kỹ thuật này vào một mô hình tấn công hiện có làm cho cuộc tấn công khó phát hiện hơn".