Команда Trend Micro по поиску угроз выявила *новую тактику*, применяемую APT-группой Earth Preta, также известной как Mustang Panda. Эта группа нацелена на организации в Азиатско-Тихоокеанском регионе, в частности, проводит кампании против правительств Тайваня, Вьетнама и Малайзии.
Метод атаки
Последний обнаруженный метод заключается в использовании Microsoft Application Virtualization Injector (MAVInject) для внедрения вредоносных программ в процесс waitfor.exe, особенно при обнаружении антивирусного приложения ESET в целевой системе.
Схема атаки выглядит следующим образом:
- Развертывание вредоносного дроппера IRSetup.exe, который устанавливает несколько файлов в каталоге ProgramData/session.
- Использование поддельного PDF-файла для отвлечения жертвы, представляясь правительственными учреждениями, стремящимися к сотрудничеству в разработке платформы для борьбы с преступностью.
Ключевые компоненты вредоносной программы
Центральным элементом вредоносной программы Earth Preta является модифицированный бэкдор TONESHELL, обозначенный как EACore.dll, который запускается как часть полезной нагрузки. Этот бэкдор загружается с использованием законного приложения Electronic Arts, в частности, OriginLegacyCLI.exe.
Конструкция бэкдора включает функции, направленные на обнаружение присутствия процессов ESET ekrn.exe или egui.exe. В случае их активности EACore.dll регистрируется с помощью regsvr32.exe. Этот процесс впоследствии запускается waitfor.exe, обеспечивая путь для внедрения вредоносного кода с помощью MAVInject.
Методы обхода антивирусного обнаружения
Эта методология направлена на то, чтобы обойти антивирусное обнаружение, демонстрируя умение группы скрывать свои вредоносные действия. В сценариях, где приложения ESET отсутствуют, вредоносная программа обладает резервными механизмами, которые позволяют ей напрямую внедрять код в waitfor.exe с использованием таких API, как WriteProcessMemory и CreateRemoteThreadEx.
В конечном итоге полезная нагрузка расшифровывает шеллкод в своем разделе данных, чтобы установить связь со своим сервером управления (C&C), расположенным по адресу www.militarytc.com:443. Это взаимодействие облегчено с помощью вызова API ws2_32.send, который собирает информацию о хосте для создания уникального идентификатора для каждой скомпрометированной системы, что еще больше повышает устойчивость.
Идентификация и рекомендации
Несколько признаков, указывающих на принадлежность, связывают этот новый вариант с Earth Preta, в том числе:
- Методология, отражающая предыдущие действия, связанные с группой.
- Создание уникального идентификатора жертвы.
- Структура пакетов подтверждения связи по сравнению с предыдущими образцами.
Несмотря на эти различия, лежащая в основе техника остается в соответствии с установленными моделями Earth Preta. Учитывая сложность и эволюционный характер стратегий атак Earth Preta, организациям рекомендуется усилить свои возможности мониторинга.
Особое внимание следует уделять выявлению необычного поведения законных процессов и исполняемых файлов, что имеет важное значение для снижения рисков, связанных с такими хакерами.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Новые атаки Earth Preta: уловки, обходящие антивирусы".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.