Китайские хакеры злоупотребляют инструментом Microsoft для обхода антивирусного программного обеспечения и создания хаоса

Компания Trend Micro обнаружила новый способ обхода антивирусного ПО группой хакеров Earth Preta. Вредоносное программное обеспечение проверяет наличие на компьютере антивируса ESET перед тем, как внедрять вредоносный код в легитимные процессы.

Группа хакеров под названием Earth Preta и Mustang Panda была замечена использованием инжектора Microsoft Application Virtualization для обхода антивирусного ПО путём внедрения злонамеренного кода в легитимные процессы. Исследование команды Threat Hunting из Trend Micro показало, что группа также использует Setup Factory — сторонний построитель установщиков Windows — для распространения и выполнения вредоносных нагрузок.

Основная сфера деятельности группы Earth Preta охватывает регион Азиатско-Тихоокеанского региона. В недавних атаках они нацеливались на Тайвань, Вьетнам и Малайзию.

Обход антивирусного ПО

Атака начинается с того, что хакеры Earth Preta отправляют фишинговое письмо жертве и загружают смесь легитимных и вредоносных файлов в каталог ProgramData/session через IRSetup.exe. В этой смеси содержится легитимное приложение Electronic Arts (EA) — OriginLegacyCLI.exe, которое используется для внедрения модифицированного бэкдора TONESHELL, EACore.dll.

В то время как это происходит, в переднем плане загружается приманка в виде PDF-файла, чтобы отвлечь пользователя от развертывания нагрузки. В исследуемом Trend Micro векторе атаки показывается жертве PDF с просьбой о сотрудничестве для добавления телефонных номеров на платформу борьбы с преступностью, поддерживаемую несколькими правоохранительными органами.

В фоновом режиме файл EACore.dll проверяет наличие двух файлов, связанных с антивирусом ESET — ekrn.exe и egui.exe. Если любой из этих файлов обнаружен на устройстве, EACore.dll запускает функцию DLLRegisterServer, регистрируя себя через regsevr32.exe.

Для обхода антивируса вредоносное ПО использует MAVInject.exe для эксплуатации waitfor.exe с целью внедрения злонамеренного кода в запущенный процесс. Функция waitfor.exe используется для синхронизации процессов или триггерного выполнения определённых действий после получения сигнала или команды, и поэтому обычно игнорируется антивирусным ПО как легитимный и доверенный системный процесс.

Если файлы, связанные с ESET, не обнаружены, запускается обработчик исключений, вызывающий waitfor.exe для прямого внедрения злонамеренного кода с использованием API WriteProcessMemory и CreateRemoteThreadEx. В конце концов вредоносное ПО устанавливает соединение с сервером управления (C2), управляемым злоумышленниками.

Из-за схожести данного вектора атаки с другими наблюдаемыми Trend Micro кампаниями и наличия того же C2 сервера в другой атаке группы Earth Preta, исследователи приписывают эту атаку группе Earth Preta с уверенностью среднего уровня.