Trend Micro’nun tehdit av ekibinden araştırmacılar, Mustang Panda olarak da bilinen Gelişmiş Kalıcı Tehdit (APT) Grubu Earth Preta tarafından sofistike bir siber saldırı kampanyasını ortaya çıkardılar.
Grup, öncelikle Tayvan, Vietnam, Malezya ve Tayland da dahil olmak üzere Asya-Pasifik bölgesindeki devlet kuruluşlarını hedefleyen sistemlere sızmak ve tespitten kaçınmak için yeni tekniklerden yararlanıyor.
Earth Preta, Windows sistemlerini tehlikeye atmak için mızrak aktı e-postaları ve gelişmiş kötü amaçlı yazılımların bir kombinasyonunu kullanır.
Grup, meşru Windows işlemlerine kötü niyetli yükler enjekte etmek için Microsoft Uygulama Sanallaştırma Enjektörünü (mavinject.exe) kullanıyor, örneğin waitfor.exeözellikle ESET antivirüs yazılımı tespit edildiğinde.
Bu yaklaşım, güvenlik önlemlerini atlamalarına ve enfekte olmuş sistemlerde kalıcılığı korumalarına olanak tanır.
Saldırı zinciri, kötü amaçlı bir dosyanın yürütülmesi ile başlar (IRSetup.exe), birden fazla dosya ve kötü amaçlı bileşenleri sisteme bırakır.
Mağdurları rahatsız etmek için, saldırganlar, devlet kurumları tarafından desteklendiği iddia edilen bir suç karşıtı platformda işbirliği talep etmek gibi resmi bir belge gibi görünen bir Decoy PDF dağıtıyorlar.
Kötü amaçlı yazılım analizi
Earth Preta’nın operasyonunun çekirdeği, Toneshell arka kapı kötü amaçlı yazılımının değiştirilmiş bir varyantını içerir.
Bu arka kapı kullanılarak kenar yüklenir OriginLegacyCLI.exekötü niyetli bir DLL ile birlikte meşru bir elektronik sanat (EA) uygulaması (EACore.dll).
Kötü amaçlı yazılım, bir komut ve kontrol (C&C) sunucusu ile iletişim kurar. www[.]militarytc[.]com:443 Veri eksfiltrasyonu ve uzaktan işlemler için.
Kötü amaçlı yazılımın temel yetenekleri şunları içerir:
- Ters Kabuk Erişim
- Dosya silme ve hareket
- Gelecekteki sömürü için kurban tanımlayıcılarının sürekli depolanması
Kötü amaçlı yazılım ayrıca davranışını ESET antivirüs yazılımının varlığına göre uyarlar.
Tespit edilirse, çalışma işlemlerine kod enjekte etmek için mavinject.exe kullanır; Aksi takdirde, gibi alternatif teknikler kullanır WriteProcessMemory Ve CreateRemoteThreadEx Kod enjeksiyonu için API’ler.
Trend Micro, bu kampanyayı önceki kampanyalarda gözlemlenen paylaşılan taktiklere, tekniklere ve prosedürlere (TTP’ler) dayanan orta güvenle Dünya Preta’ya bağlar.
Grup en az 2022’den beri aktif olduğu ve bu dönemde 200’den fazla kurbandan ödün verdiği bildiriliyor.
Operasyonları, devlet kuruluşlarına odaklanmaları ve ilk saldırı vektörü olarak kimlik avına olan güvenleri ile karakterizedir.
Bu kampanya, Earth Preta gibi APT gruplarının gelişen sofistike olmasının altını çiziyor. Meşru araçları özel kötü amaçlı yazılımlarla birleştirerek, algılamadan kaçabilir ve yüksek değerli hedeflere sızabilirler.
Asya-Pasifik bölgesindeki kuruluşlar özellikle risk altındadır ve kimlik avı girişimlerine karşı uyanık kalmalı ve sağlam uç nokta koruma önlemlerinin mevcut olmasını sağlamalıdır.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free