Aktor ancaman yang disponsori negara Cina yang dikenal sebagai Mustang Panda telah diamati menggunakan teknik baru untuk menghindari deteksi dan mempertahankan kontrol atas sistem yang terinfeksi.
Ini melibatkan penggunaan utilitas Microsoft Windows yang sah yang disebut Microsoft Application Virtualization Injector (mavinject.exe) untuk menyuntikkan muatan jahat aktor ancaman ke dalam proses eksternal, waitfor.exe, kapan pun aplikasi antivirus ESET terdeteksi berjalan, tren Micro mengatakan dalam sebuah yang baru, kata yang baru dalam sebuah yang baru dalam sebuah yang baru dalam sebuah yang baru dalam sebuah sebuah baru di sebuah New Antivirus yang terdeteksi, tren Micro di sebuah sebuah tren baru di A New EXETE OURIVIRUS APLIKAS analisa.
“Serangan itu melibatkan menjatuhkan beberapa file, termasuk executable yang sah dan komponen jahat, dan menggunakan umpan PDF untuk mengalihkan perhatian korban,” kata peneliti keamanan Nathaniel Morales dan Nick Dai.
“Selain itu, Earth Preta menggunakan pengaturan pabrik, pembangun pemasang untuk perangkat lunak Windows, untuk menjatuhkan dan menjalankan muatan; ini memungkinkan mereka untuk menghindari deteksi dan mempertahankan kegigihan dalam sistem yang dikompromikan.”
Titik awal dari urutan serangan adalah yang dapat dieksekusi (“irsetup.exe”) yang berfungsi sebagai penetes untuk beberapa file, termasuk dokumen umpan yang dirancang untuk menargetkan pengguna yang berbasis di Thailand. Ini menyinggung kemungkinan bahwa serangan itu mungkin melibatkan penggunaan email phishing tombak untuk memberikan korban.
Biner kemudian melanjutkan untuk menjalankan aplikasi seni elektronik (EA) yang sah (“originlegacycli.exe”) untuk mengidap dll nakal bernama “eacore.dll” itu adalah versi modifikasi dari backdoor Toneshell yang dikaitkan dengan kru peretasan.
Inti Fungsi malware adalah pemeriksaan untuk menentukan apakah dua proses yang terkait dengan aplikasi antivirus ESET – “Ekrn.exe” atau “EGUI.EXE” – berjalan pada host yang dikompromikan, dan jika demikian, jalan “waitfor.exe” dan dan Kemudian gunakan “mavinject.exe” untuk menjalankan malware tanpa ditandai olehnya.
“Mavinject.exe, yang mampu melakukan eksekusi proksi kode berbahaya dengan menyuntikkan ke proses berjalan sebagai cara melewati deteksi ESET, kemudian digunakan untuk menyuntikkan kode jahat ke dalamnya,” jelas para peneliti. “Ada kemungkinan bahwa Earth Preta menggunakan mavinject.exe setelah menguji eksekusi serangan mereka pada mesin yang menggunakan perangkat lunak ESET.”
Malware akhirnya mendekripsi Kode Kode Tertanam yang memungkinkannya untuk membuat koneksi dengan server jarak jauh (“www.militarytc[.]com: 443 “) untuk menerima perintah untuk membuat shell terbalik, memindahkan file, dan menghapus file.
“Malware Earth Preta, varian dari Toneshell Backdoor, dimuat dengan aplikasi seni elektronik yang sah dan berkomunikasi dengan server perintah-dan-kontrol untuk exfiltrasi data,” kata para peneliti.
