- Trend Micro hat Erde im neuen Angriff aus dem Antiviren -Antiviren ausgewichen
- Die Malware -Bereitstellung prüft, ob eset Antivirus installiert ist
- Malware entführt legitime Prozesse, um böswilligen Code zu injizieren
Eine chinesische Hacking -Gruppe, die als Earth Preta und Mustang Panda verfolgt wurde, wurde mit dem entdeckt Microsoft Anwendungsvirtualisierungsinjektor zum Ausweichen Antivirus Software durch Eingabe von böswilligen Code in legitime Prozesse.
Neue Forschungen aus dem Bedrohungsjagd-Team von Trend Micro ergab, wie die Gruppe auch Setup Factory, einen Windows-Installationsprogramm von Drittanbietern, für böswillige Nutzlasten verwendet und ausführte.
Die Fokusregion von Earth Preta dreht sich hauptsächlich um die Region Asien-Pazifik, wobei die Gruppe in den letzten Angriffen auf Taiwan, Vietnam und Malaysia abzielt.
Ausweichen von Antivirensoftware
Der Angriff beginnt mit der Erde, die ein Opfer entspricht und eine Mischung aus legitimen und böswilligen Dateien in das Programmdata/Session-Verzeichnis mit irsetup.exe ablegt. In dieser Mischung aus Dateien befindet sich eine legitime Electronic Arts (EA) App (Originlegacycli.exe), mit der eine modifizierte Toneshell -Backdoor, EACORE.dll, abgeladen wird.
Währenddessen wird ein Köder -PDF in den Vordergrund geladen, um die Benutzer von der Nutzlastbereitstellung abzulenken. In dem von den Trend-Micro-Forschern untersuchten Vektor wurde dem Opfer eine PDF, die nach der Zusammenarbeit des Benutzers bei der Auflistung von Telefonnummern zu einer Plattform gegen Kriminalität bittet, zu einer Verbrecherplattform aufgefordert.
Im Hintergrund prüft die Datei eAcore.dll, um festzustellen, ob zwei mit dem ESET -Antivirus zugeordnete Dateien auf dem Gerät ausgeführt werden – ekrn.exe und egui.exe. Wenn eine einer Datei im System erkannt wird, führt eAcore.dll die Funktion dllREGIERSERVERVER durch, indem Sie sich mit RegSevr32.exe registrieren.
Um das Antivirus zu umgehen, die Malware Verwendet dann Mavinject.exe, um Waitfor.exe zu nutzen, um böswilligen Code in einen laufenden Prozess zu verleihen. Die Funktion für die Waitfor.exe wird verwendet, um Prozesse zu synchronisieren oder eine spezifische Aktion auszulösen, nachdem ein Signal oder ein Befehl empfangen wurde, und wird daher in der Regel von der Antiviren -Software ignoriert, da sie ein legitimer und vertrauenswürdiger Systemprozess ist.
Wenn die mit ESET zugeordneten Dateien nicht erkannt werden, wird ein Ausnahmebehandler ausgelöst, wodurch die Waitfor.exe direkt böswilliger Code mithilfe des WriteProcessMemory- und CreateRemotetheadex -APIs injiziert. Schließlich stellt die Malware eine Verbindung zu einem Bedrohungsakteur -kontrollierten Befehl und Steuerungsserver (CONTROL CONTROLE) her.
Aufgrund der Ähnlichkeit des Angriffsvektors mit anderen Kampagnen, die von beobachtet wurden Trend Micround die Einhaltung desselben C2 -Servers in einem anderen Erd -Preta -Angriff führen diesen Angriff auf die Erde -Preta mit mittlerem Vertrauen zurück.
Sie könnten auch mögen
Source link
