Hackers vinculados a China han desplegado un nuevo malware llamado ‘UNAPIMON’ para operaciones sigilosas

Luis Quiles

abril 2, 2024

Ciber espionaje

Se ha observado que un grupo de actividad de amenazas conocido como Earth Freybug está utilizando un nuevo malware llamado UNAPIMON para pasar desapercibido.

«Earth Freybug es un grupo de ciberamenazas que ha estado activo desde al menos 2012 y se enfoca en actividades de espionaje y motivadas financieramente», dijo el investigador de seguridad de Trend Micro, Christopher So, en un informe publicado hoy.

«Se ha observado que este grupo tiene como objetivo a organizaciones de varios sectores en diferentes países».

La firma de ciberseguridad ha descrito a Earth Freybug como un subconjunto dentro de APT41, un grupo de ciberespionaje vinculado a China que también se rastrea como Axiom, Brass Typhoon (anteriormente Barium), Bronze Atlas, HOODOO, Wicked Panda y Winnti.

El colectivo adversarial se sabe que confía en una combinación de binarios de «living-off-the-land» (LOLBins) y malware personalizado para alcanzar sus objetivos. También se adoptan técnicas como la secuestro de bibliotecas de enlace dinámico (DLL) y la desvinculación de interfaces de programación de aplicaciones (API).

Trend Micro dijo que la actividad comparte coincidencias tácticas con un grupo anteriormente revelado por la empresa de ciberseguridad Cybereason bajo el nombre de Operación CuckooBees, que se refiere a una campaña de robo de propiedad intelectual dirigida a empresas de tecnología y manufactura ubicadas en Asia Oriental, Europa Occidental y América del Norte.

El punto de partida de la cadena de ataque es el uso de un ejecutable legítimo asociado con VMware Tools («vmtoolsd.exe») para crear una tarea programada usando «schtasks.exe» y desplegar un archivo llamado «cc.bat» en la máquina remota.

Actualmente no se sabe cómo se inyectó el código malicioso en vmtoolsd.exe, aunque se sospecha que puede haber implicado la explotación de servidores de cara al exterior.

El script por lotes está diseñado para recopilar información del sistema y lanzar una segunda tarea programada en el host infectado, que a su vez ejecuta otro archivo por lotes con el mismo nombre («cc.bat») para finalmente ejecutar el malware UNAPIMON.

«El segundo cc.bat es notable por aprovechar un servicio que carga una biblioteca inexistente para cargar de lado un DLL malicioso», explicó So. «En este caso, el servicio es SessionEnv.»

Esto allana el camino para la ejecución de TSMSISrv.DLL que es responsable de soltar otro archivo DLL (es decir, UNAPIMON) e inyectar ese mismo DLL en cmd.exe. Simultáneamente, el archivo DLL también se inyecta en SessionEnv para evadir la defensa.

Además, el intérprete de comandos de Windows está diseñado para ejecutar comandos provenientes de otra máquina, convirtiéndolo en esencia en una puerta trasera.

UNAPIMON, un malware simple basado en C++, está equipado para evitar que los procesos secundarios sean monitoreados aprovechando una biblioteca de Microsoft de código abierto llamada Detours para desenganchar funciones críticas de la API, evitando así la detección en entornos de sandbox que implementan monitoreo de API mediante el enganche.

La empresa de ciberseguridad caracterizó al malware como original, destacando la «habilidad de codificación y creatividad» del autor, así como su uso de una biblioteca prefabricada para llevar a cabo acciones maliciosas.

«Earth Freybug ha estado presente durante bastante tiempo, y sus métodos se han visto evolucionar con el tiempo», dijo Trend Micro.

«Este ataque también demuestra que incluso técnicas simples pueden ser utilizadas de manera efectiva cuando se aplican correctamente. La implementación de estas técnicas en un patrón de ataque existente hace que el ataque sea más difícil de descubrir».

Tags :