Исследователи Trend Micro обнаружили активность группировки Earth Freybug, по мнению аналитиков, входящей в состав известной китайской хак-группы APT41 (она же Winnti, Axiom, Brass Typhoon, Bronze Atlas, HOODOO, Wicked Panda). Новая малварь UNAPIMON позволяет вредоносным процессам запускаться незамеченными и используется для кибершпионских атак.

APT41 (и Earth Freybug в ее составе) является одной старейших китайских хак-групп, которая активна с 2012 года. Ранее группировка атаковала широкий спектр организаций, включая правительства, поставщиков оборудования, разработчиков ПО, аналитические центры, поставщиков телекоммуникационных услуг и образовательные учреждения.

Изученные специалистами атаки Earth Freybug начинаются с внедрения вредоносного процесса в легитимный процесс VMware Tools (vmtoolsd.exe), который выполняет удаленное запланированное задание для запуска batch-файла, собирающего информацию о системе (включая сетевые настройки и данные о пользователях).

Затем второй batch-файл (cc.bat), используя технику side-loading'а DLL (TSMSISrv.dll) с участием службы SessionEnv, загружает UNAPIMON в память и внедряет его в процесс cmd.exe.

Сама UNAPIMON представляет собой малварь, написанную на C++, поставляемую в виде DLL (_{random}.dll), которая использует Microsoft Detours для перехвата API-функции CreateProcessW, что позволяет ей осуществлять анхукинг критических API-функций в дочерних процессах.

Поскольку многие защитные решения используют API-хукинг для отслеживания вредоносной активности, UNAPIMON позволяет произвести анхукинг API, чтобы избежать обнаружения.

Trend Micro объясняет, что большинство вредоносных программ используют хуки для перехвата вызовов, получения конфиденциальных данных и изменения поведения софта. То есть используемые UNAPIMON методы это весьма необычны.