Earth Preta混合合法与恶意组件规避检测
趋势科技威胁狩猎团队发现Earth Preta(又称Mustang Panda)使用微软应用程序虚拟化注入器(MAVInject.exe)将有效载荷注入waitfor.exe,并在检测到ESET杀毒软件时利用Setup Factory安装程序投放和执行恶意负载以实现持久化。
攻击链分析
初始恶意文件IRSetup.exe在ProgramData/session目录投放多个文件,包含合法可执行文件和恶意组件。攻击者同时执行针对泰国用户的诱饵PDF文件,在后台部署恶意负载时分散受害者注意力。
TONESHELL后门技术细节
恶意DLL文件EACore.dll(TONESHELL变种)通过合法电子艺界应用OriginLegacyCLI.exe进行侧加载。该后门检测到ESET进程(ekrn.exe或egui.exe)时,通过regsvr32.exe执行DLLRegisterServer函数,并利用MAVInject.exe将恶意代码注入waitfor.exe进程。
异常处理机制
当未检测到ESET软件时,恶意代码通过WriteProcessMemory和CreateRemoteThreadEx API直接向waitfor.exe注入代码。
C&C通信分析
恶意软件解密存储在.data段的shellcode,与C2服务器www.militarytc.com:443通信。其通信协议生成随机标识符并收集计算机名,支持反向shell、文件删除和移动等命令功能。
归因分析
该变种采用与Earth Preta相似的TTPs(鱼叉式钓鱼),使用CoCreateGuid生成独立存储的受害者ID,且C2服务器与其他Earth Preta样本关联,因此以中等置信度归因于该组织。
防护建议
组织应增强监控能力,重点关注合法进程和可执行文件中的异常活动,以应对Earth Preta等APT组织不断演变的规避技术。
本文涉及技术要点:代码注入、进程 Hollowing、侧加载、C2通信加密、异常处理机制规避检测。
