研究人员发现Earth Preta(也称Mustang Panda)通过Microsoft Application Virtualization Injector将恶意负载注入到waitfor.exe中,以绕过ESET杀毒软件检测。该团伙利用Setup Factory投放和执行负载以保持持久性,并通过投放合法可执行文件和恶意组件混淆视听,同时部署诱饵PDF文件分散受害者注意力。Earth Preta的恶意软件是TONESHELL后门变种,通过合法的EA应用程序侧加载,并与命令与控制服务器通信以窃取数据。该APT团伙主要针对亚太地区政府机构,自2022年以来已有超200名受害者。研究人员通过分析攻击链、恶意软件功能及C&C通信协议等,确认此次攻击与Earth Preta相关,其利用合法工具和混淆技术,展示了高超的攻击规避能力,提醒组织需加强监测,关注合法进程中的异常活动,以应对APT团伙不断演变的攻击手段。
原文链接:
https://www.trendmicro.com/en_us/research/25/b/earth-preta-mixes-legitimate-and-malicious-components-to-sidestep-detection.html
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...