Earth Freybug는 치명적인 API를 풀기 위해 Unapimon을 사용트렌드 마이크로 (미국) 관련 IOC 3개 발견
지난 달, 우리는 Earth Freybug(APT41의 서브 세트라고도 함)과 관련된 사이버 스피온 공격을 조사했습니다. 2012년 이래로 스파이와 재정적 동기 부여 활동에 중점을 둔 사이버 해제 그룹으로 관찰되었고, LOLBINS, 사용자 정의 맬웨어 등 다양한 도구와 기술을 사용합니다. Cybereason의 기사에 따르면, 이 캠페인에서 발견된 vmtoolsd.exe를 통해 아동 프로세스가 모니터링되는 것을 방지하기 위해 kicking하는 두 가지 기술인 Dynamic-Link Library (DLL) 납치 및 애플리케이션 프로그래밍 인터페이스 (API)를 사용했다고 합니다.
Trendmicro
Earth Freybug Uses UNAPIMON for Unhooking Critical APIs | Trend Micro (US)
Last month, we investigated a cybercion attack associated with Earth Freybug (also called the sub -set of APT41).Since 2012, it has been observed as a cyber release group that focuses on spy and financial motivation activities, and uses various tools and technologies such as LOLBINS and custom malware.According to Cybereason’s article, Dynamic-Link library (DLL) kidnapping and application programming interface (API) were used to prevent the child’s process from being monitored through the vmtoolsd.exe found in this campaign.
https://www.trendmicro.com/en_us/research/24/d/earth-freybug.html