TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

トップ > 攻撃組織: Winnti / Blackfly / Suckfly / Wicked Panda / Wicked Spider / APT41 / Barium > Winnti's new UNAPIMON tool hides malware from security software

Winnti's new UNAPIMON tool hides malware from security software

攻撃組織: Winnti / Blackfly / Suckfly / Wicked Panda / Wicked Spider / APT41 / Barium Malware: Unapimon

【訳】

Winntiの新ツール「UNAPIMON」、セキュリティ・ソフトウェアからマルウェアを隠す


【図表】


攻撃図(トレンドマイクロ)

フックプロセス(トレンドマイクロ)

セキュリティツールによる変更を元に戻すアンパッチステップ(トレンドマイクロ)
出典: https://www.bleepingcomputer.com/news/security/winntis-new-unapimon-tool-hides-malware-from-security-software/


【要約】

Winntiハッカーが新しいマルウェア「UNAPIMON」を使用しており、セキュリティソフトウェアから検知されずに悪意のあるプロセスを実行していることが判明した。このサイバースパイ攻撃は、中国のAPT41としても知られるWinntiによるもので、非常に洗練された手法を使用している。UNAPIMONは、VMware Toolsの正規プロセスに悪意のあるプロセスを注入し、APIフックを使ってセキュリティツールの検出を回避する。これは、Winntiハッカーが検知を回避する斬新な手法の1つであり、以前にもWindowsのプリントプロセッサやCobalt Strikeビーコンを利用して検出を回避していた。


【ニュース】

◆Winnti's new UNAPIMON tool hides malware from security software (BleepingComputer, 2024/04/02 17:59)
[Winntiの新ツール「UNAPIMON」、セキュリティ・ソフトウェアからマルウェアを隠す]
https://www.bleepingcomputer.com/news/security/winntis-new-unapimon-tool-hides-malware-from-security-software/


【関連まとめ記事】

全体まとめ
 ◆攻撃組織 / Actor (まとめ)
  ◆標的型攻撃組織 / APT (まとめ)

◆Winnti / APT41 (まとめ)
https://malware-log.hatenablog.com/entry/Winnti

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023