Хакеры из Китая осваивают новые методы обхода защитных механизмов, используя стандартные инструменты Windows. По данным экспертов Trend Micro, группировка Mustang Panda внедрила способ, позволяющий сохранять контроль над заражёнными устройствами, маскируясь под легитимные процессы операционной системы.
Для этого злоумышленники прибегают к утилите Microsoft Application Virtualization Injector («MAVInject.exe»), которая позволяет исполнять вредоносный код в процессе «waitfor.exe». Этот подход применяется, если на компьютере работает антивирусное ПО ESET.
Изначально на целевую систему загружается набор файлов, состоящий из подлинных исполняемых файлов, вредоносных компонентов и отвлекающего PDF-документа. Чтобы скрыть запуск вредоносного кода, киберпреступники используют инструмент Setup Factory, предназначенный для создания установщиков Windows.
Первым этапом атаки становится выполнение файла «IRSetup.exe», который выступает загрузчиком, доставляя дополнительные элементы, в том числе PDF-документ, рассчитанный на пользователей из Таиланда. Это может свидетельствовать о распространении вредоносного ПО через фишинговые письма.
Следующий шаг — использование исполняемого файла компании Electronic Arts («OriginLegacyCLI.exe») для загрузки изменённой библиотеки «EACore.dll». Этот компонент является модифицированной версией бэкдора TONESHELL, который ранее связывали с Mustang Panda. Основная задача вредоносного ПО — проверить активность процессов антивируса ESET («ekrn.exe» и «egui.exe»). Если защита включена, выполняется «waitfor.exe», а затем через «MAVInject.exe» загружается вредоносный код, оставаясь незамеченным.
По мнению специалистов, «MAVInject.exe» предоставляет возможность впровадить вредоносные элементы в запущенный процесс, обходя защитные механизмы. Скорее всего, киберпреступники заранее тестировали этот метод на системах с установленным ESET, чтобы убедиться в его работоспособности.
Завершающая стадия атаки предполагает расшифровку встроенного шелл-кода, создающего соединение с удалённым сервером. Это позволяет загружать или удалять файлы, а также дистанционно управлять заражённым устройством.
Китайские хакеры адаптируют свои подходы, используя встроенные функции Windows для незаметного выполнения вредоносного ПО. Это даёт им возможность обходить антивирусные программы и долгое время сохранять контроль над скомпрометированными системами.
Оригинал публикации на сайте CISOCLUB: "Китайские хакеры обходят антивирусы с помощью стандартных утилит Windows".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.