Earth Preta megkerüli az ESET-et
A Trend Micro kutatása szerint az Earth Preta (Mustang Panda APT) egy kiberkémkedési csoport, amely kifinomult módszereket alkalmaz a célpontok megfertőzésére és a felfedezés elkerülésére. A csoport legutóbbi kampányaiban legitim és rosszindulatú komponensek kombinációját használják, hogy megnehezítsék a biztonsági rendszerek számára a támadások észlelését.
Az Earth Preta célzott adathalász e-maileket küld, amelyek gyakran ZIP fájlokat tartalmaznak. Ezek a ZIP fájlok dokumentumokat és rosszindulatú futtatható fájlokat egyaránt tartalmaznak, például CHM (Compiled HTML Help) fájlokat, amelyek a káros kódot rejtik.
A csoport olyan ismert szoftvereket használ, mint a Cobalt Strike, hogy hozzáférést szerezzenek a rendszerekhez és terjesszék a rosszindulatú kódot. Ezen eszközök használata megnehezíti a támadások észlelését, mivel ezek gyakran jelen vannak a vállalati környezetekben.
A fő kártékony kódok, amelyeket az Earth Preta bevet az a Cobalt Strike, egy fejlett behatolási eszköz, amelyet a jelenlét fenntartására, oldalirányú mozgásra és adatlopásra használnak, a PlugX backdoort, amely lehetővé teszi a támadók számára a távoli hozzáférést, fájltovábbítást és parancsvégrehajtást az áldozat rendszerén, a Trochilus, ami egy másik távoli hozzáférési trójai (RAT), amely képes titkosított adatkommunikációra és rejtett műveletekre. A TONEINS és TONESHELL két egyedi malware, amelyet az Earth Preta fejlesztett ki információgyűjtésre és háttértevékenységek végrehajtására. A támadások során használják a CHM-fájlokba rejtett PowerShell-szkriptek, amik a Windows segítségével hajtanak végre rosszindulatú parancsokat, és lehetővé teszik további kártékony kódok letöltését és futtatását. A támadók gyakran használnak LOLBins technikát, hogy észrevétlenül működjenek a rendszerben.
Az észlelés elkerülésére az Earth Preta legitim és rosszindulatú komponenseket kever, hogy ne tűnjön gyanúsnak a biztonsági rendszerek számára. A támadások során hamis dokumentumokat használnak, amelyek sokszor hivatalos szervek vagy ismert szervezetek nevében érkeznek.
A védekezéshez e-mail figyelmeztetésekre, fájlok ellenőrzésére, rendszeres frissítésekre és fejlett fenyegetésészlelési rendszerekre van szükség. Az Earth Preta hatékonyan megkerüli az ESET víruskereső észlelését, és fenntartja a perzisztenciát a fertőzött rendszereken.
