Китайските хакери заобикалят антивирусите чрез легитимните инструменти на Windows
Хакерите маскират TONESHELL като съставни елементи на Electronic Arts.
Китайската кибергрупа Mustang Panda употребява нова техника за заобикаляне на антивирусните отбрани и опазване на контрола върху инфектираните системи. Изследователи на Trend Micro откриха, че хакерите употребяват законния инструмент на Windows, който се назовава Microsoft Application Virtualisation Injector („ MAVInject.exe “), с цел да инжектират злотворен код в процеса „ waitfor.exe “, в случай че антивирусната стратегия на ESET бъде открита да работи на устройството.
Атаката стартира с изтеглянето на няколко файла, в това число законни изпълними файлове, зловредни съставни елементи и мним PDF документ, предопределен да отвлече вниманието на жертвата. При тази офанзива се употребява Setup Factory, инструмент за основаване на инсталатори на Windows, с цел да се скрие зловредният код и да се подсигурява, че той ще се извърши неусетно.
Първоначалният злотворен файл („ IRSetup.exe “) работи като буутлоудър, доставяйки няколко съставния елемент на устройството, в това число документ с стръв, насочен към потребителите от Тайланд. Това указва за допустимо потребление на фишинг имейли за разпространяване на зловредния програмен продукт.
След това изпълнимият файл започва законното приложение на Electronic Arts („ OriginLegacyCLI.exe “), с цел да зареди в допълнение подправената библиотека „ EACore.dll “. Този файл е модифицирана версия на задната врата TONESHELL, обвързвана с Mustang Panda. Основната задача на зловредния програмен продукт е да ревизира за съществуването на антивирусни процеси на ESET („ ekrn.exe “ или „ egui.exe “). Ако антивирусната стратегия е дейна, зловредният програмен продукт извършва „ waitfor.exe “ и употребява „ MAVInject.exe “, с цел да започва код, който не може да бъде открит.
Според специалистите „ MAVInject.exe “ разрешава да се инжектира злотворен код в работещ развой, като се заобикаля антивирусното разкриване. Вероятно хакерите са тествали авансово офанзивата върху машини с ESET, с цел да се уверят, че тя е ефикасна.
Последният стадий на офанзивата включва декриптиране на вградения шел код, който открива връзка с далечен сървър. След това нападателите могат да изтеглят и качват файлове и да предизвикват отдалечен надзор на инфектираното устройство.
По този метод китайските хакери приспособяват методите си за офанзива, като употребяват законните принадлежности на Windows за прикрито осъществяване на злотворен код. Това им разрешава дейно да заобикалят антивирусните отбрани и да резервират достъпа до компрометираните системи за дълъг интервал от време.
