Китайские хакеры на свободе: как Earth Preta обошли антивирусы Microsoft

Китайские хакеры используют инструмент Microsoft для обхода антивирусов и сеют хаос
Группа китайских хакеров, известная как Earth Preta и Mustang Panda, была замечена в использовании инструмента Microsoft Application Virtualization Injector для обхода антивирусного ПО путем внедрения вредоносного кода в легитимные процессы.
Новое исследование команды Threat Hunting компании Trend Micro показало, что группа также использует Setup Factory, сторонний инструмент для создания установщиков Windows, чтобы разрабатывать и выполнять вредоносные payloads.
Основным регионом активности Earth Preta является Азия и Тихоокеанский регион, при этом группа целится в Тайвань, Вьетнам и Малайзию в недавних атаках.
Атака начинается с того, что Earth Preta занимается целенаправленным фишингом жертвы и помещает смесь легитимных и вредоносных файлов в каталог ProgramData/session, используя IRSetup.exe. В этом миксе файлов находится легитимное приложение от Electronic Arts (EA) (OriginLegacyCLI.exe), которое используется для инсталляции модифицированного бэкдора TONESHELL, EACore.dll.
Пока это происходит, на переднем плане загружается поддельный PDF, чтобы отвлечь пользователей от установки payload. В исследованном Trend Micro векторе, PDF запрашивает у пользователя о сотрудничестве в составлении списка телефонных номеров для добавления в анти-криминальную платформу, поддерживаемую несколькими правоохранительными органами.
Тем временем, файл EACore.dll проверяет, работают ли на устройстве два файла, связанные с антивирусом ESET - ekrn.exe и egui.exe. Если любой файл обнаружен в системе, EACore.dll выполняет функцию DLLRegisterServer, регистрируясь с помощью regsevr32.exe.
Для обхода антивируса, вредоносное ПО затем использует MAVInject.exe, чтобы эксплуатировать waitfor.exe для внедрения вредоносного кода в запущенный процесс. Функция waitfor.exe используется для синхронизации процессов или запуска конкретного действия после получения сигнала или команды, и поэтому обычно игнорируется антивирусным ПО, так как это легитимный и доверенный системный процесс.
Если файлы, связанные с ESET, не обнаружены, срабатывает обработчик исключений, вызывая waitfor.exe к непосредственному внедрению вредоносного кода с использованием WriteProcessMemory и CreateRemoteThreadEx API. Наконец, вредоносное ПО устанавливает связь с сервером командования и управления (C2), контролируемым злоумышленником.
Из-за сходства вектора атаки с другими кампаниями, наблюдаемыми Trend Micro, и наблюдением того же сервера C2 в другой атаке Earth Preta, исследователи с уверенностью средней силы связывают эту атаку с Earth Preta.