تم رصد مجموعة التهديدات الصينية المدعومة من الدولة، والمعروفة باسم Mustang Panda، وهي تستخدم تقنية جديدة لتجنب الاكتشاف والحفاظ على السيطرة على الأنظمة المصابة.
تعتمد هذه التقنية على استخدام أداة شرعية من Windows تُعرف باسم Microsoft Application Virtualization Injector (MAVInject.exe) لحقن الحمولة الضارة في عملية خارجية تُدعى waitfor.exe، وذلك عند اكتشاف تشغيل برنامج الحماية ESET، وفقًا لتحليل جديد أجرته Trend Micro.
تفاصيل الهجوم:
يقوم القراصنة بإسقاط عدة ملفات، بما في ذلك ملفات تنفيذية شرعية ومكونات ضارة، بالإضافة إلى استخدام مستند PDF زائف لإلهاء الضحية.
يتم استخدام Setup Factory، وهو منشئ مثبتات لتطبيقات Windows، لنشر الحمولة الضارة والحفاظ على التواجد في الأنظمة المخترقة.
آلية الهجوم
تبدأ سلسلة الهجوم بتنفيذ ملف قابل للتنفيذ يحمل اسم “IRSetup.exe”، والذي يعمل كناقل للملفات الضارة، ومن بينها مستند خادع يستهدف المستخدمين في تايلاند، مما يشير إلى أن الهجوم قد يكون مرتبطًا بحملات تصيد احتيالي عبر البريد الإلكتروني لاستهداف ضحايا محددين.
يستغل القراصنة بعد ذلك تطبيقًا شرعيًا تابعًا لشركة Electronic Arts (EA) يُعرف باسم “OriginLegacyCLI.exe” لتحميل مكتبة DLL ضارة باسم “EACore.dll”، وهي نسخة معدلة من TONESHELL، وهو باب خلفي مرتبط بنفس مجموعة القراصنة.
آلية تجاوز الحماية:
يتحقق البرنامج الضار مما إذا كان هناك عمليتان تعملان على الجهاز المصاب مرتبطتان بمضاد الفيروسات ESET، وهما:
“ekrn.exe”
“egui.exe”
إذا تم العثور عليهما، يتم تنفيذ “waitfor.exe”، ثم يتم استخدام “MAVInject.exe” لحقن التعليمات البرمجية الضارة وتشغيلها دون اكتشافها من قبل برنامج الحماية.
تحليل أمني:
تعمل MAVInject.exe كأداة لتنفيذ التعليمات البرمجية الضارة عن طريق حقنها في عملية قيد التشغيل، مما يسمح للقراصنة بتجاوز حماية ESET.
يُعتقد أن القراصنة أجروا اختبارات مسبقة على الأجهزة التي تعمل ببرنامج ESET لضمان نجاح الهجوم.
التواصل مع خادم التحكم والاختراق
يقوم البرنامج الضار في النهاية بفك تشفير شيفرة shellcode مضمنة تتيح له الاتصال بخادم بعيد على العنوان “www.militarytc[.]com:443″، مما يسمح له بتنفيذ أوامر مثل:
- إنشاء قشرة عكسية (Reverse Shell)
- نقل الملفات
- حذف الملفات
وبالتالي فقد بات من المعلوم أن Earth Preta، وهو متغير من TONESHELL، يعتمد على استغلال التطبيقات الشرعية مثل برامج EA لتنفيذ الهجوم، ويتصل بخادم التحكم والاختراق من أجل سرقة البيانات، مما يشير إلى تطور أساليب القراصنة الصينيين في تنفيذ الهجمات السيبرانية المستهدفة.
