L’attore delle minacce sponsorizzato dallo stato cinese noto come Mustang Panda è stato osservato impiegando una nuova tecnica per eludere il rilevamento e mantenere il controllo sui sistemi infetti.
Ciò comporta l’uso di un’utilità legittima di Microsoft Home windows chiamata Microsoft Software Virtualization Iniector (mavinject.exe) per iniettare il carico del pay dell’attore minaccia in un processo esterno, WaitTor.exe, ogni volta che viene rilevata l’applicazione antivirus ESET in esecuzione in esecuzione, Pattern Micro disse in una nuova analisi.
“L’attacco prevede la caduta di più file, tra cui eseguibili legittimi e componenti dannosi, e distribuire un PDF esca per distrarre la vittima”, hanno notato i ricercatori della sicurezza Nathaniel Morales e Nick Dai.
“Inoltre, Earth Preta utilizza Setup Manufacturing unit, un costruttore di installazioni per il software program Home windows, per far cadere ed eseguire il payload; ciò consente loro di eludere il rilevamento e mantenere la persistenza in sistemi compromessi.”
Il punto di partenza della sequenza di attacchi è un eseguibile (“IRSETUP.EXE”) che funge da contagocce per diversi file, incluso il documento di esca progettato per colpire gli utenti basati sulla Thailandia. Ciò allude alla possibilità che gli attacchi possano aver comportato l’uso di e-mail a posa di lancia per individuare le vittime.
Il binario procede quindi a eseguire un’applicazione legittima delle arti elettroniche (EA) (“origindlegacycli.exe”) per scagliare un dll canaglia chiamato “eacore.dll” che è una versione modificata del Tonshell Backdoor attribuito all’equipaggio di hacking.
Core La funzione del malware è un controllo per determinare se due processi associati alle applicazioni antivirus ESET – “ekrn.exe” o “egui.exe” – siano in esecuzione sull’host compromesso e, in tal caso, eseguire “waitfor.exe” e Quindi utilizzare “mavinject.exe” per eseguire il malware senza essere contrassegnato da esso.
“Mavinject.exe, che è in grado di eseguire l’esecuzione del codice dannoso iniettando un processo di esecuzione come mezzo per bypassare il rilevamento ESET, viene quindi utilizzato per iniettare il codice dannoso in esso”, hanno spiegato i ricercatori. “È possibile che Earth Preta abbia usato mavinject.exe dopo aver testato l’esecuzione del loro attacco alle macchine che utilizzavano il software program ESET.”
Il malware alla nice decrittica il code incorporato che gli consente di stabilire connessioni con un server remoto (“www.militarytc (.) Com: 443”) per ricevere comandi per stabilire una shell inversa, spostarsi e eliminare i file.
“Il malware di Earth Preta, una variante del backdoor di tonnellate, è sieto con un’applicazione legittima delle arti elettroniche e comunica con un server di comando e controllo per l’esfiltrazione dei dati”, hanno affermato i ricercatori.
