Uç nokta güvenliği
Mustang Panda, antivirüs tespitinden kaçmak için mavinject kullanır
Prajeet Nair (@prajeaetspeaks) •
19 Şubat 2025
Çin devlet destekli bir hackleme grubu, güvenlikten kaçınmak ve Asya-Pasifik bölgesindeki hükümet sistemlerine backdoors yüklemek için meşru bir Microsoft aracını kötüye kullanıyor.
Ayrıca bakınız: Kuruluşunuzdaki her rol için Copilot+PC Kılavuzu
Trend Micro, kampanyayı, hükümetlerin hedeflenmesi, özellikle Asya, Avrupa ve Amerika Birleşik Devletleri’nde, düşünce kuruluşları ve STK’lar olarak bilinen Dünya Preta olarak da izlenen tehdit grubu Mustang Panda tarafından analiz etti.
Araştırmacılar, Earth Preta’nın kullandığını keşfettiler MAVInject.exeMicrosoft uygulama sanallaştırma enjektörü, kötü amaçlı yazılım enjekte etmek için waitfor.exeağa bağlı bilgisayarlar arasında sinyal vermek için kullanılan bir Windows işlemi. Kötü amaçlı yazılımların taktikleri, teknikleri ve prosedürleri geçmiş Dünya Preta kampanyalarına çok benziyor.
Bu kampanya, siber güvenlik firması ESET tarafından yapılan antivirüslü makinelerle sınırlıdır. Kaçırılması MAVInject.exeMicro, antivirüs tarafından tespiti atlamanın bir aracıdır. “Earth Preta’nın kullanılması mümkündür MAVInject.exe ESET yazılımı kullanan makinelere yapılan saldırılarının yürütülmesini test ettikten sonra. “
Bir eSET sözcüsü, şirketin Trend Micro’nun “bu saldırının” ESET antivirüsünü etkili bir şekilde atladığını “iddia etmesine katılmadığını söyledi. Bu bir bypass değil ve Micro’nun ESET’i bulgularını tartışmaları için uyarmadığı için şaşkınız. ” Sözcü, ESET’in taktiği tespit etmek için Ocak ayında antivirüs motorunu güncellediğini de sözlerine ekledi. Şirket, tehdit oyuncusunu “Ceranakeeper” olarak izliyor.
Tehdit oyuncusu ayrıca, kötü amaçlı yükleri düşürüp yürütmek için bir Windows yazılım yükleyici aracı olan Setup Factory’yi, tespit edilmemiş kalırken kalıcılığın sağlanmasını sağladı.
Saldırı zinciri kötü niyetli bir damlalıkla başlar, IRSetup.exeProgramData/Oturum Dizini’ne birden çok dosyayı dağıtan. Bu dosyalar arasında hem meşru yürütülebilir hem de kötü amaçlı bileşenler bulunmaktadır.
Şüpheyi yönlendirmek için Earth Preta, Tayland’da suç karşıtı bir girişim ile ilgili resmi bir belge olarak görünecek şekilde tasarlanmış bir tuzak PDF’yi yürütüyor. Kötü amaçlı yazılım arka planda yürütülür ve saldırganların sistem üzerinde kontrol kurmasını sağlar.
Kampanyanın önemli bir unsuru, OriginLegacyCLI.exeSideload için meşru bir elektronik sanat uygulaması EACore.dll Toneshell arka kapısının değiştirilmiş bir versiyonu. Kötü amaçlı yazılım, ESET işlemlerini kontrol eder ve tespit edilirse kayıtlar EACore.dll kullanma regsvr32.exeyürütmeyi tetikleyen waitfor.exe. MAVInject.exe daha sonra kötü amaçlı kodu, çalışma işlemine enjekte eder. command:mavinject.exe .
Etkin olduktan sonra, kötü amaçlı yazılım, şifreli kabuk kodunu kullanarak komut ve kontrol sunucusuyla iletişim kurar. Sistem bilgilerini toplar, benzersiz bir kurban kimliği oluşturur ve komut ve kontrol sunucusuna iletir.