攻撃グループ「Earth Freybug」が新型マルウェア「UNAPIMON」を展開：セキュリティ監視用のAPIフックを解除

攻撃グループ「Earth Freybug」が新型マルウェア「UNAPIMON」を展開：セキュリティ監視用のAPIフックを解除｜トレンドマイクロ

攻撃グループ「Earth Freybug」の新型マルウェア「UNAPIMON」について、「DLLハイジャック」や「APIフック解除」による検知回避の技術を中心に解説します。

https://www.trendmicro.com

💡

要約

UNAPIMON は、セキュリティ製品のAPIフックを無効化し、マルウェアの検出を回避することを目的としています。
このマルウェアはWindowsの正規のAPIをフックし、API呼び出しをインターセプトして改ざんします。
主な機能は、特定のセキュリティ製品のプロセスを終了させたり、APIフックを削除することです。
現在確認されているのはロシア語版のみですが、他の言語版も存在する可能性があります。
攻撃者はこのマルウェアを使って、セキュリティ対策を無力化し、その後に追加の悪意のあるペイロードを展開することが目的とみられます。

Table of contents

UNAPIMON マルウェアの主な特徴攻撃の手順としては:UNAPIMON マルウェアは、セキュリティ対策の回避に特化した巧妙なツールです技術的側面:攻撃者の目的:防御策:Earth Freybug の歴史と攻撃履歴:概要:攻撃手法:標的:目的:攻撃事例:対策:今後の動向:

UNAPIMON マルウェアの主な特徴

特定のセキュリティ製品のプロセス (KsSysGuard、RsESPProt、GdSsKrBan) を強制終了させます。これらはカスペルスキー、ESETなどの製品です。
WindowsのNtCreateThreadExやNtQueueApcThread APIをフックし、APIの呼び出しをインターセプトして改ざんします。
レジストリキーを作成し、起動時に自身を実行するようにします。
インターネットから追加のペイロードをダウンロードする機能があります。
さまざまな Anti-Reversing 手法を用いて解析を困難にしています。

攻撃の手順としては:

UNAPIMONでセキュリティ対策を無力化
追加の悪意あるペイロードをダウンロード (ransomwareなど)
本格的な攻撃を実行

と考えられます。トレンドマイクロはこの新しい脅威に対処するため、製品の検知ロジックを強化しています。企業はセキュリティ対策を徹底し、未知の脅威に備える必要があります。

💡

Earth Freybugによる攻撃の流れがトレンドマイクロさんのサイトでわかりやすく図解＆解説されています。

https://www.trendmicro.com

UNAPIMON マルウェアは、セキュリティ対策の回避に特化した巧妙なツールです

より深く理解するために、以下の点について掘り下げましょう。

技術的側面:

API フック解除のメカニズム: UNAPIMON は、Windows API 関数の動作を乗っ取ることでセキュリティソフトの監視を回避します。具体的には、NtCreateThreadEx や NtQueueApcThread などの API をフックし、本来の処理を妨害したり、偽の情報を返すことで、セキュリティソフトによる検知を逃れます。
標的となるセキュリティ製品: 現状では、Kaspersky、ESET などのロシアのセキュリティ製品が標的となっていることが確認されています。しかし、攻撃手法の性質上、他のセキュリティ製品も同様に影響を受ける可能性があります。
拡散方法: UNAPIMON の具体的な拡散方法はまだ明らかになっていません。しかし、一般的なマルウェアの拡散方法である、メールの添付ファイル、悪意のあるウェブサイト、脆弱性 exploit などが考えられます。

攻撃者の目的:

最終目標: セキュリティソフトの無効化は、攻撃の第一段階に過ぎません。その後、攻撃者は別のマルウェアをダウンロードして実行する可能性が高く、情報窃取、ランサムウェア攻撃、システム破壊など、様々な目的が考えられます。
Earth Freybug との関係: Earth Freybug は、主にロシア語圏を標的とした攻撃グループであり、UNAPIMON の使用は彼らの活動の一環であると考えられます。彼らの動機や背後関係については、まだ多くの謎が残されています。

防御策:

トレンドマイクロの対策: トレンドマイクロは、UNAPIMON を検知するためのパターンファイルの更新や、製品の挙動監視機能の強化などを行っています。また、最新の脅威情報や対策情報を提供することで、ユーザーのセキュリティ対策を支援しています。
ユーザーが取るべき対策:
- セキュリティソフトの更新: 最新のセキュリティソフトを使用し、常に最新の状態に保つことが重要です。
- 不審なメールの開封回避: 出所不明のメールや添付ファイルは開かないようにしましょう。
- OS の脆弱性対策: OS やソフトウェアの脆弱性を修正するためのアップデートを速やかに適用しましょう。
- 多層防御の構築: セキュリティソフトだけでなく、ファイアウォール、侵入検知システムなど、複数のセキュリティ対策を組み合わせることで、防御力を高めることができます。

Earth Freybug の歴史と攻撃履歴:

概要:

Earth Freybug は、主にロシア語圏を標的としたサイバー攻撃グループです。彼らの活動は 2020 年頃から確認されております。

攻撃手法:

Earth Freybug は、以下のような多様な攻撃手法を用いています。

スピアフィッシング: 標的となる組織や個人に偽装メールを送りつけ、マルウェアをダウンロードさせたり、個人情報を盗み出します。
脆弱性攻撃: ソフトウェアの脆弱性を利用して、システムに侵入します。
マルウェア: UNAPIMON のような独自開発のマルウェアや、既存のマルウェアを組み合わせて攻撃を行います。
Living off the Land (LotL): システムに元々存在する正規のツールや機能を悪用して、攻撃を行います。

標的:

Earth Freybug の主な標的は、ロシア語圏の組織や個人です。しかし、近年では活動範囲を拡大しており、他の地域も標的となる可能性があります。

目的:

Earth Freybug の攻撃目的は、情報窃取、金銭詐取、システム破壊など様々です。彼らの背後関係や動機については、まだ多くの謎が残されています。

攻撃事例:

Earth Freybug による具体的な攻撃事例は公表されていませんが、UNAPIMON マルウェアを使用した攻撃が確認されています。この攻撃では、セキュリティソフトを無効化した後に、別のマルウェアをダウンロードして実行することで、情報窃取やランサムウェア攻撃が行われた可能性があります。

対策:

Earth Freybug の攻撃から身を守るためには、以下の対策が有効です。

セキュリティソフトの導入と更新: 最新のセキュリティソフトを導入し、常に最新の状態に保つことが重要です。
不審なメールの開封回避: 出所不明のメールや添付ファイルは開かないようにしましょう。
OS の脆弱性対策: OS やソフトウェアの脆弱性を修正するためのアップデートを速やかに適用しましょう。
多層防御の構築: セキュリティソフトだけでなく、ファイアウォール、侵入検知システムなど、複数のセキュリティ対策を組み合わせることで、防御力を高めることができます。
セキュリティ意識の向上: 従業員に対して、サイバー攻撃の手口や対策に関する教育を行い、セキュリティ意識を高めることが重要です。

今後の動向:

Earth Freybug は、高度な攻撃手法と独自開発のマルウェアを使用するなど、高い技術力を持つ攻撃グループです。今後も彼らの活動範囲や攻撃手法が進化していく可能性が高く、注意が必要です。