Хакерская группировка Earth Preta, также известная как Mustang Panda, использует изощренную технику внедрения вредоносного кода через легитимные приложения. Исследовательская команда Trend Micro обнаружила, что группа применяет Microsoft Application Virtualization Injector (MAVInject.exe) для внедрения полезной нагрузки в процесс waitfor.exe при обнаружении антивирусного ПО ESET.
Earth Preta использует Setup Factory для распространения и запуска вредоносных компонентов, что помогает избегать обнаружения и обеспечивает постоянство присутствия в системе. Начальный вредоносный файл IRSetup.exe размещает множество файлов в директории "ProgramData/session", включая как легитимные исполняемые файлы, так и вредоносные компоненты.
Для отвлечения внимания пользователей группировка применяет PDF-приманку, якобы связанную с созданием белого списка телефонных номеров для антикриминальной платформы в Таиланде. Пока жертва изучает документ, в фоновом режиме устанавливается вредоносное ПО.
Особое внимание привлекает использование легитимного приложения Electronic Arts – OriginLegacyCLI.exe для загрузки модифицированного бэкдора TONESHELL через файл EACore.dll. Бэкдор проверяет наличие процессов ESET (ekrn.exe или egui.exe) и в зависимости от результатов использует различные методы внедрения кода.
После успешного внедрения TONESHELL устанавливает связь с командным центром через "www[.]militarytc[.]com:443", передавая системную информацию, включая имя компьютера и случайный идентификатор. Новая версия бэкдора хранит идентификатор жертвы в директории "CompressShaders" и использует модифицированную структуру пакетов для обмена данными.
С 2022 года Earth Preta атаковала более 200 целей, преимущественно в Азиатско-Тихоокеанском регионе, включая Тайвань, Вьетнам и Малайзию. Группировка специализируется на целенаправленном фишинге, особенно против правительственных организаций.
Исследователи Trend Micro подтверждают связь новой версии вредоносного ПО с Earth Preta на основании использования тех же командных серверов, схожей функциональности TONESHELL и идентичных тактик атак. Для обнаружения подобных угроз специалисты рекомендуют усилить мониторинг легитимных процессов на предмет аномального поведения.
Earth Preta использует Setup Factory для распространения и запуска вредоносных компонентов, что помогает избегать обнаружения и обеспечивает постоянство присутствия в системе. Начальный вредоносный файл IRSetup.exe размещает множество файлов в директории "ProgramData/session", включая как легитимные исполняемые файлы, так и вредоносные компоненты.
Для отвлечения внимания пользователей группировка применяет PDF-приманку, якобы связанную с созданием белого списка телефонных номеров для антикриминальной платформы в Таиланде. Пока жертва изучает документ, в фоновом режиме устанавливается вредоносное ПО.
Особое внимание привлекает использование легитимного приложения Electronic Arts – OriginLegacyCLI.exe для загрузки модифицированного бэкдора TONESHELL через файл EACore.dll. Бэкдор проверяет наличие процессов ESET (ekrn.exe или egui.exe) и в зависимости от результатов использует различные методы внедрения кода.
После успешного внедрения TONESHELL устанавливает связь с командным центром через "www[.]militarytc[.]com:443", передавая системную информацию, включая имя компьютера и случайный идентификатор. Новая версия бэкдора хранит идентификатор жертвы в директории "CompressShaders" и использует модифицированную структуру пакетов для обмена данными.
С 2022 года Earth Preta атаковала более 200 целей, преимущественно в Азиатско-Тихоокеанском регионе, включая Тайвань, Вьетнам и Малайзию. Группировка специализируется на целенаправленном фишинге, особенно против правительственных организаций.
Исследователи Trend Micro подтверждают связь новой версии вредоносного ПО с Earth Preta на основании использования тех же командных серверов, схожей функциональности TONESHELL и идентичных тактик атак. Для обнаружения подобных угроз специалисты рекомендуют усилить мониторинг легитимных процессов на предмет аномального поведения.
