L’acteur de menace chinois parrainé par l’État connue sous le nom de Mustang Panda a été observé en utilisant une nouvelle technique pour échapper à la détection et maintenir le contrôle des systèmes infectés.
Cela implique l’utilisation d’un utilitaire Microsoft Windows légitime appelé injecteur de virtualisation de l’application Microsoft (mavinject.exe) pour injecter la charge utile malveillante de l’acteur de menace dans un processus externe, waitfor.exe, chaque fois que l’application antivirus ESET est détectée en cours d’exécution, Tendal Micro Micro dit dans une nouvelle analyse.
“L’attaque consiste à supprimer plusieurs fichiers, y compris des exécutables légitimes et des composants malveillants, et en déploiement d’un PDF leurre pour distraire la victime”, a noté les chercheurs en sécurité Nathaniel Morales et Nick Dai.
“De plus, Earth Preta utilise Configuration Factory, un constructeur d’installation pour le logiciel Windows, pour déposer et exécuter la charge utile; cela leur permet d’échapper à la détection et à maintenir la persistance dans les systèmes compromis.”
Le point de départ de la séquence d’attaque est un exécutable (“irsetup.exe”) qui sert de compte-gouttes pour plusieurs fichiers, y compris le document de leurre conçu pour cibler les utilisateurs basés en Thaïlande. Cela fait allusion à la possibilité que les attaques aient impliqué l’utilisation des e-mails de lance à la lance à une seule victime.
Le binaire procède ensuite à une application légitime sur les arts électroniques (EA) (“OriginlegacyCli.exe”) pour mettre à côté une DLL voyou nommée “eacore.dll” qui est une version modifiée du Toneshell Backdoor attribué à l’équipe de piratage.
Core La fonction du malware est un contrôle pour déterminer si deux processus associés aux applications antivirus ESET – “ekrn.exe” ou “egui.exe” – fonctionnent sur l’hôte compromis, et dans le cas, exécutez “waitfor.exe” et Utilisez ensuite “Mavinject.exe” afin d’exécuter le logiciel malveillant sans être signalé par celui-ci.
“Mavinject.exe, qui est capable d’exécuter par procuration d’un code malveillant en injectant à un processus en cours comme moyen de contourner la détection ESET, est ensuite utilisé pour y injecter le code malveillant”, ont expliqué les chercheurs. “Il est possible que Earth Preta ait utilisé mavinject.exe après avoir testé l’exécution de leur attaque contre des machines qui utilisaient un logiciel ESET.”
Le logiciel malveillant décrypte finalement le code de coquille intégré qui lui permet d’établir des connexions avec un serveur distant (“www.militarytc[.]com: 443 “) pour recevoir des commandes pour établir un shell inversé, déplacer des fichiers et supprimer des fichiers.
“Le malware de Terre Preta, une variante de la porte dérobée de Toneshell, est coléé par une application artistique électronique légitime et communique avec un serveur de commandement et de contrôle pour l’exfiltration de données”, ont déclaré les chercheurs.




