「Earth Freybug」が新マルウェア「UNAPIMON」でセキュリティ対策を回避

Last Updated on 2024-04-15 21:00 by TaTsu

中国に関連する脅威アクター「Earth Freybug」が、組織がWindowsアプリケーションプログラミングインターフェース（API）で悪意のある活動を監視するために設置したメカニズムを回避するために、新しいマルウェアツールを使用していることがTrend Microの研究者によって発見された。このマルウェアは「UNAPIMON」と名付けられ、Windows APIのフックを無効にすることで、API関連プロセスの検査と分析を阻害する。その目的は、マルウェアによって生成されたプロセスがアンチウイルスツールやサンドボックス製品、その他の脅威検出メカニズムによって検出または検査されることを防ぐことである。

Trend Microは、Earth FreybugをAPT41の一部と評価している。APT41は、Winnti、Wicked Panda、Barium、Suckflyとしても知られる中国の脅威グループの集合体であり、2012年以降に活動していることが知られている。このグループは、カスタムツールと正規のシステムバイナリを操作するいわゆる「living-off-the-land binaries」（LOLbins）のコレクションを使用している。APT41は、米国とアジアの企業から大量の貿易秘密と知的財産を盗んでいると2022年にCybereasonの研究者によって特定された。その被害者には、製造業とIT組織、政府、米国、東アジア、ヨーロッパの重要インフラターゲットが含まれる。2020年には、このグループに関連すると考えられる5人のメンバーが、世界中の100以上の組織に対する攻撃で米国政府によって起訴された。

最近Trend Microが観察したインシデントでは、Earth FreybugアクターはUNAPIMONをターゲットシステムに配信するために多段階のアプローチを使用した。最初の段階では、攻撃者は不明な起源の悪意のあるコードをvmstools.exeプロセスに注入し、ホストマシン上でバッチスクリプトファイル（cc.bat）を実行するスケジュールタスクを作成した。このバッチファイルは、システム情報の収集と感染したホスト上でcc.batファイルを実行するための第二のスケジュールタスクの開始を任務とする。第二のバッチスクリプトファイルは、リモートデスクトップサービスを管理するWindowsサービスであるSessionEnvを利用して、感染したホスト上で悪意のある動的リンクライブラリ（DLL）をサイドロードする。悪意のあるDLLは、防御回避目的でWindowsサービス上にUNAPIMONをドロップし、コマンドを静かに実行するcmd.exeプロセス上にもドロップする。UNAPIMON自体は、C++で書かれたDLLマルウェアであり、単一の文字列を除いて暗号化されていない。その防御回避技術は、マルウェアの悪意のあるプロセスを脅威検出ツールに対して見えなくするAPIのアンフッキングである。

【編集者追記】

Earth Freybugとは
Earth Freybugは、中国を拠点とするサイバー攻撃グループで、APT41の一部とみなされている。2012年頃から活動が確認され、政府機関、テクノロジー企業、ヘルスケア、通信など様々な業界を標的にしている。カスタムツールやLiving off the Land (LOLBins) と呼ばれる正規のシステムバイナリを悪用することで知られ、2022年には「Operation CuckooBees」と呼ばれる企業秘密や知的財産の窃取キャンペーンを実行した。最近では、DLLハイジャッキングやAPIフッキング阻止により検知を回避する新しいマルウェア「UNAPIMON」を使用しており、高度な技術力を持つ脅威となっている。

APT41とは
APT41は、中国を拠点とする高度なサイバー攻撃グループで、2007年頃から活動が確認されている。Winnti、Barium、Wicked Panda、Blackflyなどの別名でも知られ、中国政府や軍から支援を受けていると指摘されている。サイバースパイ活動と金銭目的の犯罪活動の両方に関与しており、世界中の政府機関、製造業、ヘルスケア、物流、金融、教育、電気通信など幅広い業界を標的としている。

攻撃手法としては、SQLインジェクション、カスタムのCobalt Strike Beacon、脆弱性の悪用などが確認されている。2020年9月には、米国司法省が世界100社以上への侵害に関与した容疑でAPT41のメンバー5名を起訴した。日本企業も標的になっており、2019年には複数の日本企業への攻撃が確認された。最近では、米国の州政府の家畜管理システムへの大規模なハッキングにも関与したと報告されている。

APT41は、長年にわたり世界中の組織を標的とした攻撃を展開しており、高度な技術力と多数の犯罪履歴を持つ脅威グループである。セキュリティ当局や企業は、APT41の動向を注視し、適切な防御策を講じる必要がある。

【ニュース解説】

中国に関連する脅威アクター「Earth Freybug」が、組織がWindowsのアプリケーションプログラミングインターフェース（API）で悪意ある活動を監視するために設置したメカニズムを回避する新しいマルウェア「UNAPIMON」を使用していることが、セキュリティ研究機関Trend Microによって発見されました。このマルウェアは、Windows APIのフック（プログラムの実行を監視または変更するための技術）を無効にすることで、API関連プロセスの検査と分析を妨げ、マルウェアによって生成されたプロセスがアンチウイルスツールやサンドボックス製品、その他の脅威検出メカニズムによって検出または検査されることを防ぎます。

この技術の使用は、セキュリティ対策を回避し、検出されずに悪意ある活動を行うことを可能にします。特に、APT41としても知られるEarth Freybugは、カスタムツールや正規のシステムバイナリを悪用することで知られており、米国とアジアの企業から貿易秘密や知的財産を盗むなどのサイバー攻撃を行ってきました。

このような攻撃手法の使用は、企業や政府機関などのセキュリティ体制にとって大きな脅威となります。特に、APIを介した監視や検出メカニズムに依存している組織にとっては、このようなマルウェアによる攻撃を未然に防ぐことが困難になります。そのため、セキュリティ対策の多層化や、未知の脅威に対応できる検出技術の開発がより一層重要になってきます。

また、この技術の発見は、サイバーセキュリティの分野における攻撃手法の進化を示しています。攻撃者は常に新しい手法を開発し、既存のセキュリティ対策を回避する方法を模索しています。このため、セキュリティ研究者や組織は、攻撃者が使用する可能性のある新しい技術や手法について常に情報を収集し、分析する必要があります。

このニュースは、サイバーセキュリティの分野における継続的な「武器競争」を浮き彫りにしています。攻撃者と防御者は、常に新しい技術や手法を用いて相手を出し抜こうとしています。このような状況では、セキュリティ対策の更新と進化を怠ることは、重大なセキュリティインシデントにつながるリスクを高めることになります。したがって、最新の脅威に対応するためには、技術的な対策だけでなく、人材の育成や教育、情報共有の強化も重要な要素となります。

from China-Linked Threat Actor Taps ‘Peculiar’ Malware to Evade Detection.