Le groupe de piratage chinois « Winnti » a été découvert en utilisant un malware précédemment non documenté appelé UNAPIMON pour laisser des processus malveillants s’exécuter sans être détectés.
Winnti, également connu sous le nom d’APT41, est l’un des groupes de menaces de cyberespionnage les plus anciens (actif depuis 2012) et les plus sophistiqués et prolifiques, considéré comme un acteur parrainé par l’État chinois.
Auparavant, ils ciblaient un large éventail d’organisations, notamment des gouvernements, des fournisseurs de matériel, des développeurs de logiciels, des groupes de réflexion, des fournisseurs de services de télécommunication et des établissements d’enseignement.
Un nouveau rapport de Trend Micro se penche sur un malware personnalisé inédit utilisé dans une opération qu’ils surveillent de près, attribuant l’attaque de cyberespionnage à un cluster qu’ils ont nommé « Earth Freybug ».’
Attaques d’APIMON
L’attaque commence par un processus malveillant injecté dans les outils VMware légitimes vmtoolsd.processus exe, qui exécute une tâche planifiée à distance pour exécuter un fichier batch qui collecte des informations système, y compris les configurations réseau et les détails de l’utilisateur.
Ensuite, un deuxième fichier batch (cc.bat) exploite le chargement latéral des DLL (TSMSISrv.dll) impliquant le service SessionEnv pour charger UNAPIMON en mémoire, en l’injectant dans un cmd.processus exe.
UNAPIMON est un malware C ++ livré sous forme de DLL (_{aléatoire}.dll), qui utilise des détours Microsoft pour accrocher la fonction API Createprocess, lui permettant de décrocher les fonctions API critiques dans les processus enfants.
Étant donné que de nombreux outils de sécurité utilisent l’accrochage d’API pour suivre les activités malveillantes, le mécanisme d’UNAPIMON lui permet de décrocher ces API d’un processus enfant malveillant pour échapper à la détection.
Selon l’analyse de Trend Micro, le mécanisme d’évasion fonctionne par étapes distinctes, comme indiqué ci-dessous:
- Se connecte à la fonction API ‘CreateProcessW’ en utilisant des détours Microsoft pour intercepter les appels de création de processus.
- Modifie l’appel de création de processus pour démarrer le nouveau processus dans un état suspendu, permettant la manipulation avant l’exécution du processus.
- Recherche des DLL spécifiques dans le processus suspendu, crée des copies locales dans le répertoire %User Temp% et charge ces copies sans résoudre les références pour éviter les erreurs.
- Compare les DLL copiées avec les originaux dans le processus, à la recherche de modifications dans les adresses exportées qui indiquent des crochets logiciels de sécurité.
- Copie le code original sur des sections modifiées dans les DLL chargées dans la mémoire du processus, supprimant efficacement les crochets insérés par les outils de sécurité.
- Décharge les copies DLL temporaires et reprend le thread principal du processus enfant, permettant une exécution indétectable.
Trend Micro explique que la plupart des logiciels malveillants utilisent l’accrochage pour intercepter les appels, capturer des données sensibles et modifier le comportement des logiciels. Par conséquent, l’approche d’UNAPIMON pour décrocher l’évasion est une technique inhabituelle.
« Une caractéristique unique et notable de ce malware est sa simplicité et son originalité », a conclu Trend Micro.
« Son utilisation des technologies existantes, telles que Microsoft Detours, montre que toute bibliothèque simple et standard peut être utilisée de manière malveillante si elle est utilisée de manière créative. Cela montrait également les prouesses de codage et la créativité du rédacteur de logiciels malveillants. »
« Dans les scénarios typiques, c’est le malware qui fait l’accrochage. Cependant, c’est le contraire dans ce cas. »
De plus, l’utilisation de l’outil de débogage Microsoft Detours légitime pour effectuer le décrochage pourrait lui permettre d’échapper aux détections comportementales par rapport à l’utilisation d’une routine personnalisée inconnue.
Les pirates Winnti sont connus pour leurs nouvelles méthodes d’évasion de la détection lors de la conduite d’attaques.
En 2020, les pirates ont été observés en train d’abuser des processeurs d’impression Windows pour masquer une porte dérobée et rester persistants. En 2022, les pirates informatiques ont divisé les balises Cobalt Strike en 154 petits morceaux pour échapper à la détection, ne les reconstruisant en exécutable que lorsqu’elles étaient prêtes à être lancées.