Известная китайская кибергруппа APT под названием Mustang Panda отмечена злоупотреблением утилитой Microsoft Application Virtualization Injector в целях внедрения вредоносного ПО в легитимные процессы. Это позволяет хакерам избегать обнаружения антивирусными программами, что создает серьезные угрозы безопасности.
Кибербезопасность под угрозой
Исследователи Trend Micro, отслеживающие эту кибергруппу под названием Earth Preta, обнаружили данный прием и сообщили, что с 2022 года количество жертв превысило 200. Основной мишенью для Mustang Panda выступают правительственные учреждения в Азиатско-Тихоокеанском регионе, а также различные НПО.
Основным методом атаки кибергруппы являются фишинговые e-mail, которые маскируются под официальные сообщения от правительственных ведомств и неправительственных организаций. Такие письма содержат ссылки или вложения, ведущие к инфицированию системы вредоносным ПО.
Техническая составляющая атаки
Вредоносное ПО внедряется в процесс waitfor.exe и является модифицированной версией TONESHELL. Это ПО создает соединение с сервером управления и контроля, что позволяет атакующим удаленно выполнять команды в системе жертвы. Такая гибкость и скрытность делает угрозу чрезвычайно опасной.
Microsoft’s Application Virtualization Injector используется как инструмент для внедрения вредоносного кода без вызова подозрений. Это классический пример использования легитимного инструментария в качестве так называемого LOLBIN – низкоуровневой утилиты обманной модификации, используемой для обхода систем безопасности.
Компании, работающие на платформах
