Earth Preta i Mustang Panda: Vrhunski Kinaški Hakeri koriste Tehnologiju za Izbjegavanje Antivirusnog Softvera
Kineska hakerska grupa poznata kao Earth Preta i Mustang Panda primijećena je kako koristi Microsoft Application Virtualization Injector za izbjegavanje antivirusnih softvera, ubrizgavajući zlonamjerni kod u legitimne procese. Nova istraživanja tima za prijetnje Trend Microa otkrivaju dodatne metode koje ova grupa koristi u svojim napadima.
Korištenje Setup Factory za Izvršavanje Malicioznih Obaveza
Earth Preta ne koristi samo Microsoftove alate, već i alate trećih strana, kao što je Setup Factory — izraditelj instalacijskih programa za Windows — za isporuku i izvršavanje zlonamjernih kodova. Ova grupa se ponajviše fokusira na područje Azijsko-Pacifičkog regiona, a posljednji napadi su usmjereni na Tajvan, Vijetnam i Maleziju.
Kako Napad Počinje
Napad započinje kada Earth Preta provodi spear-phishing napad na žrtvu, istovremeno isporučujući mešavinu legitimnih i zlonamjernih datoteka u ProgramData/session direktorij korištenjem IRSetup.exe. Ova mešavina sadrži legitimnu aplikaciju Electronic Arts (EA) pod nazivom OriginLegacyCLI.exe, koja se koristi za prenosenje modificiranog backdoora TONESHELL, EACore.dll.
Distrakcija kroz PDF Dokument
U isto vrijeme, u prednjem planu se učitava PDF dokument kao mamac kako bi se skrenula pažnja korisnika s izvršavanja zlonamjernog koda. U ovom slučaju, PDF traži suradnju korisnika u navođenju brojeva telefona za dodatak na platformu protiv kriminala koju podržavaju različite agencije za provedbu zakona.
Provjera Antivirusnih Datoteka
Dok se ovo odvija, EACore.dll datoteka provjerava jesu li dva datoteke povezana s antivirusnim programom ESET aktivne na uređaju – ekrn.exe i egui.exe. Ako se bilo koja od ovih datoteka otkrije na sustavu, EACore.dll izvršava funkciju DLLRegisterServer registrirajući se s regsevr32.exe.
Obilaženje Antivirusnog Softvera
Kako bi zaobišli antivirus, zlonamjerni softver koristi MAVInject.exe za iskorištavanje waitfor.exe s ciljem ubacivanja zlonamjernog koda u tekući proces. Funkcija waitfor.exe se koristi za sinhronizaciju procesa ili pokretanje specifične radnje nakon što se primi signal ili komanda, zbog čega je obično ignoriraju antivirusni softver, smatrajući ga legitimnim procesom.
Izravno Ubacivanje Koda
Ako se datoteke povezanih s ESET-om ne otkriju, aktivira se iznimni upravitelj koji uzrokuje da waitfor.exe izravno ubaci zlonamjerni kod koristeći WriteProcessMemory i CreateRemoteThreadEx API-je. Na kraju, zlonamjerni softver uspostavlja vezu s C2 (command and control) serverom koji kontrolira napadač.
Zaključak
Zbog sličnosti ovog napada s drugim kampanjama koje je Trend Micro primijetio, istraživači smatraju da su ovi napadi vezani uz Earth Preta s umjerenom razinom povjerenja. Cyber sigurnost postaje vitalna, a svaka obnova informacija može pomoći tvrtkama i korisnicima da se zaštite od ovakvih sofisticiranih prijetnji.
U današnje vrijeme, svjesnost o ovim tehnikama postaje ključna kako bi se osigurala zaštita od hakerskih napada. Budite informirani, pratite najnovije sigurnosne prakse i zaštitite svoje digitalne prostore.
