Un gruppo di attività minacciose tracciato come Earth Freybug è stato osservato nell’uso di un nuovo malware chiamato UNAPIMON, progettato per operazioni furtive. Earth Freybug, attivo dal 2012, si concentra su spionaggio e attività motivate finanziariamente, prendendo di mira organizzazioni di vari settori in diversi paesi.
Identificato come un sottogruppo di APT41, un gruppo di spionaggio cibernetico legato alla Cina, Earth Freybug utilizza una combinazione di software legittimi e malware personalizzati per raggiungere i suoi obiettivi, adottando tecniche come il DLL hijacking e l’API unhooking.
Tecniche d’attacco
L’attacco inizia con l’uso di un eseguibile legittimo legato a VMware Tools per creare un compito pianificato e distribuire un file bat denominato “cc.bat” nella macchina remota, che raccoglie informazioni di sistema e avvia un secondo compito pianificato. Questo, a sua volta, esegue un altro file “cc.bat” che innesca l’esecuzione di UNAPIMON.
UNAPIMON, un malware basato su C++, impedisce il monitoraggio dei processi figlio sfruttando una libreria Microsoft chiamata Detours per unhooking le funzioni API critiche, evitando così la rilevazione in ambienti sandbox che implementano il monitoraggio API tramite hooking.
L’uso di tecniche semplici ma efficacemente applicate e l’evoluzione dei metodi di Earth Freybug nel tempo sottolineano la creatività e la competenza nel codice del suo autore, rendendo gli attacchi più difficili da scoprire.
Chi è APT41?
APT41, noto anche come Double Dragon, è un gruppo di hacker che si ritiene abbia legami con il Ministero della Sicurezza dello Stato cinese. Questo gruppo è stato attivo da almeno il 2012 e si distingue per le sue operazioni di cyberspionaggio patrocinate dallo stato, parallelamente a attività motivata da interessi finanziari. APT41 è responsabile di una vasta gamma di attacchi informatici, che vanno dal furto di proprietà intellettuale e dati sensibili di aziende e governi, fino ad attività di cybercrimine come frodi online e ransomware.
Gli attacchi di APT41 sono notevolmente sofisticati e si avvalgono di malware avanzato e tecniche di hacking per penetrare e mantenere l’accesso ai sistemi di destinazione. Il gruppo ha preso di mira una vasta gamma di settori, inclusi quelli legati alla sanità, alla ricerca tecnologica, alle telecomunicazioni e ai videogiochi, dimostrando la sua capacità di adattarsi e di colpire un’ampia varietà di obiettivi.
L’individuazione e l’attribuzione delle attività di APT41 alle autorità cinesi evidenzia le complesse sfide poste dalle minacce cibernetiche state-sponsored e sottolinea la necessità per organizzazioni e governi di rafforzare le proprie difese contro queste avanzate persistenti minacce (APT).
