Китайские хакеры используют легитимные утилиты Windows для обхода антивирусной защиты

Новая тактика кибергруппировки Mustang Panda

Китайская хакерская группа Mustang Panda разработала инновационную методику обхода антивирусных систем и удержания контроля над инфицированными устройствами. Эксперты из Trend Micro выявили, что злоумышленники применяют легитимный инструмент Windows — Microsoft Application Virtualization Injector (MAVInject.exe) — для внедрения вредоносного кода в процесс «waitfor.exe» при обнаружении антивируса ESET на целевой системе.

Ход атаки: от загрузки до внедрения

Атака начинается с загрузки нескольких файлов, включая легитимные исполняемые файлы, вредоносные компоненты и отвлекающий PDF-документ. Использование инструмента Setup Factory для создания установщиков Windows позволяет скрыть вредоносный код и обеспечить его незаметное выполнение.

Первоначальный вредоносный файл «IRSetup.exe» действует как загрузчик, доставляя на устройство несколько компонентов, включая документ-приманку, ориентированный на пользователей из Таиланда. Это указывает на возможное использование фишинговых писем для распространения вредоносного ПО.

Использование легитимных приложений для маскировки

Затем исполняемый файл запускает легитимное приложение Electronic Arts («OriginLegacyCLI.exe»), которое подгружает поддельную библиотеку «EACore.dll». Этот файл является модифицированной версией бэкдора TONESHELL, связанного с Mustang Panda. Основная задача вредоносного ПО — проверка наличия процессов антивируса ESET («ekrn.exe» или «egui.exe»). Если антивирус активен, вредоносное ПО выполняет «waitfor.exe» и использует «MAVInject.exe» для запуска кода без обнаружения.

Заключительный этап: установление связи с сервером

На завершающем этапе атаки происходит расшифровка встроенного шелл-кода, который устанавливает связь с удалённым сервером. После этого злоумышленники получают возможность загружать и выгружать файлы, а также осуществлять удалённое управление заражённым устройством.

Использование легитимных инструментов Windows для скрытого выполнения вредоносного кода позволяет хакерам эффективно обходить антивирусную защиту и длительно сохранять доступ к скомпрометированным системам.

Примечание: данная информация подчёркивает необходимость постоянного обновления антивирусных баз и использования комплексных мер безопасности для защиты от подобных угроз.