Китайская кибергруппировка Mustang Panda применяет новую технику обхода антивирусной защиты и сохранения контроля над заражёнными системами. Специалисты Trend Micro обнаружили , что хакеры используют легитимный инструмент Windows под названием Microsoft Application Virtualization Injector (“MAVInject.exe”) для внедрения вредоносного кода в процесс “waitfor.exe”, если на устройстве обнаружена работа антивируса ESET.
Атака начинается с загрузки нескольких файлов, включая легитимные исполняемые файлы, вредоносные компоненты и подставной PDF-документ, предназначенный для отвлечения внимания жертвы. В ходе атаки используется Setup Factory – инструмент для создания установщиков Windows, что помогает скрыть вредоносный код и обеспечить его незаметное выполнение.
Первоначальный вредоносный файл (“IRSetup.exe”) действует как загрузчик, доставляя на устройство несколько компонентов, в том числе документ-приманку, ориентированный на пользователей из Таиланда. Это указывает на возможное использование фишинговых писем для распространения вредоноса.
Далее исполняемый файл запускает легитимное приложение Electronic Arts (“OriginLegacyCLI.exe”) для подгрузки поддельной библиотеки “EACore.dll”. Этот файл представляет собой модифицированную версию бэкдора TONESHELL, связанного с Mustang Panda. Основной задачей вредоноса является проверка наличия процессов антивируса ESET (“ekrn.exe” или “egui.exe”). Если антивирус активен, вредонос выполняет “waitfor.exe” и использует “MAVInject.exe” для запуска кода без обнаружения.
По словам специалистов, “MAVInject.exe” позволяет внедрять вредоносный код в запущенный процесс, обходя антивирусное обнаружение. Хакеры, вероятно, предварительно протестировали атаку на машинах с ESET, чтобы убедиться в её эффективности.
Завершающий этап атаки включает расшифровку встроенного шелл-кода, который устанавливает связь с удалённым сервером. После этого атакующие могут загружать и выгружать файлы, а также инициировать удалённое управление заражённым устройством.
Таким образом, китайские хакеры адаптируют методы атаки, используя легитимные инструменты Windows для скрытого выполнения вредоносного кода. Это позволяет им эффективно обходить антивирусную защиту и долго сохранять доступ к скомпрометированным системам.