Le groupe de piratage APT chinois « Mustang Panda » a été repéré en train d’abuser de l’utilitaire Microsoft Application Virtualization Injector en tant que LOLBIN pour injecter des charges utiles malveillantes dans des processus légitimes afin d’échapper à la détection par un logiciel antivirus.
Cette technique a été découverte par des chercheurs en menaces de Trend Micro, qui suivent le groupe de menaces sous le nom de Earth Preta, rapportant avoir vérifié plus de 200 victimes depuis 2022.
Le périmètre de ciblage de Mustang Panda, basé sur la visibilité de Trend Micro, inclut les entités gouvernementales de la région Asie-Pacifique, tandis que la principale méthode d’attaque consiste en des courriels de harponnage qui semblent provenir d’agences gouvernementales, d’ONG, de groupes de réflexion ou des forces de l’ordre.
Le groupe de menaces a déjà été vu dans des attaques ciblant des gouvernements du monde entier utilisant Google Drive pour la distribution de logiciels malveillants, des portes dérobées évasives personnalisées et une chaîne d’attaques basée sur des vers.
Les e-mails repérés par Trend Micro contiennent une pièce jointe malveillante contenant le fichier compte-gouttes (IRSetup.exe), un programme d’installation d’usine d’installation.
S’il est exécuté par la victime, il déposera plusieurs fichiers dans C:\ProgramData\session, y compris les fichiers légitimes, les composants malveillants et un PDF leurre pour servir de diversion.
Échapper à l’antivirus
Lorsque des produits antivirus ESET sont détectés (ekrn.exe ou egui.exe) sur une machine compromise, Mustang Panda utilise un mécanisme d’évasion unique exploitant des outils préinstallés sur Windows 10 et versions ultérieures.
L’abus commence avec l’injecteur de virtualisation d’applications Microsoft (MAVInject.exe), un outil système Windows légitime qui permet au système d’exploitation d’injecter du code dans les processus en cours d’exécution.
Il est principalement utilisé par la virtualisation d’applications de Microsoft (App-V) pour exécuter des applications virtualisées, mais les développeurs et les administrateurs peuvent également l’utiliser pour exécuter des DLL dans un autre processus à des fins de test ou d’automatisation.
En 2022, la société de cybersécurité FourCore a signalé que MAVInject.exe pourrait être abusé en tant que LOLBIN, avertissant que l’exécutable doit être bloqué sur les appareils n’utilisant pas APP-v.
Mustang Panda abuse de l’exécutable pour injecter des charges utiles malveillantes dans ‘ waitfor.exe, » un utilitaire Windows légitime préinstallé dans les systèmes d’exploitation Windows.
La fonction légitime de waitfor.exe sous Windows consiste à synchroniser les processus sur plusieurs machines en attendant un signal ou une commande avant d’exécuter une action spécifique.
Il est principalement utilisé dans les scripts par lots et l’automatisation pour retarder les tâches ou s’assurer que des processus spécifiques se terminent avant que d’autres ne commencent.
Étant un processus système de confiance, le logiciel malveillant qui y est injecté passe comme un processus Windows normal, donc ESET, et potentiellement d’autres outils antivirus, ne signale pas l’exécution du logiciel malveillant.
Le malware injecté dans waitfor.exe est une version modifiée de la porte dérobée TONESHELL, qui est cachée dans un fichier DLL (EACore.dll).
Une fois en cours d’exécution, le logiciel malveillant se connecte à son serveur de commande et de contrôle à militarytc[.] com: 443, et envoie des informations système et l’identifiant de la victime.
Le malware fournit également aux attaquants un shell inversé pour l’exécution de commandes à distance et les opérations sur les fichiers, telles que déplacer et supprimer.
Trend Micro estime avec une confiance moyenne que cette nouvelle variante est un outil Mustang Panda personnalisé en fonction de ses caractéristiques fonctionnelles et des mécanismes de déchiffrement des paquets précédemment documentés.