Mustang Panda olarak bilinen Çin devlet destekli tehdit aktörü, enfekte olmuş sistemler üzerinde tespit etmek ve kontrolü korumak için yeni bir teknik kullandığı gözlemlenmiştir.
Bu, tehdit aktörünün kötü niyetli yükünü harici bir işleme enjekte etmek için Microsoft Uygulama Sanallaştırma Enjektör (mavinject.exe) adı verilen meşru bir Microsoft Windows yardımcı programının kullanımını içerir, waitfor.exe, ESET antivirüs uygulaması çalıştırıldığında, Micro yeni bir analiz.
Güvenlik araştırmacıları Nathaniel Morales ve Nick Dai, “Saldırı, meşru yürütülebilir ürünler ve kötü niyetli bileşenler de dahil olmak üzere birden fazla dosyanın düşürülmesini ve kurbanı rahatsız etmek için bir tuzak PDF’nin dağıtılmasını içeriyor.”
“Ek olarak, Earth Preta, Windows yazılımı için bir yükleyici oluşturucu olan Setup Factory’yi yükü düşürüp yürütmek için kullanıyor; bu, onların tehlikeye atılan sistemlerde kalıcılıktan kaçınmasını ve sürdürülmelerini sağlıyor.”
Saldırı sırasının başlangıç noktası, Tayland tabanlı kullanıcıları hedeflemek için tasarlanmış LURE belgesi de dahil olmak üzere birkaç dosya için bir damlalık görevi gören bir yürütülebilir dosyadır (“irsetup.exe”). Bu, saldırıların kurbanları seçmek için mızrak-aktı e-postalarının kullanımını içerebileceği ihtimaline işaret ediyor.
İkili daha sonra, “eacore.dll” adlı haydut bir DLL’nin korunma ekibine atfedilen değiştirilmiş bir versiyonudur.
Çekirdek Kötü amaçlı yazılım işlevi, ESET antivirüs uygulamalarıyla ilişkili iki işlemin – “ekrn.exe” veya “egui.exe” – uzlaşmış ana bilgisayarda çalışıp çalışmadığını belirlemek için bir kontroldür ve eğer öyleyse, “Waitfor.exe” ve yürütürse Ardından, kötü amaçlı yazılımları işaretlemeden çalıştırmak için “mavinject.exe” kullanın.
Araştırmacılar, “ESET algılamasını atlama aracı olarak bir çalışma sürecine enjekte ederek kötü amaçlı kodun proxy yürütülmesi yeteneğine sahip olan Mavinject.exe, kötü amaçlı kodu enjekte etmek için kullanılır.” “Earth Preta’nın ESET yazılımı kullanan makinelere saldırılarının yürütülmesini test ettikten sonra mavinject.exe kullanması mümkündür.”
Kötü amaçlı yazılım, uzak bir sunucu ile bağlantı kurmasını sağlayan gömülü kabuk kodunu şifresini çözer (“www.militarytc[.]com: 443 “) bir ters kabuk oluşturmak, dosyaları hareket ettirmek ve dosyaları silmek için komut almak.
Araştırmacılar, “Toneshell Backdoor’un bir çeşidi olan Earth Preta’nın kötü amaçlı yazılımı, meşru bir elektronik sanat uygulaması ile birlikte yükleniyor ve veri açığa çıkması için bir komut ve kontrol sunucusu ile iletişim kuruyor.” Dedi.