Panda

更新 2/18/25: ESET の声明を記事の最後に追加しました。

中国の APT ハッキンググループ「Mustang Panda」は、Microsoft Application Virtualization Injector ユーティリティを LOLBIN として悪用し、正規のプロセスに悪意のあるペイロードを注入してウイルス対策ソフトウェアによる検出を回避していることが判明しました。

この手口はトレンドマイクロの脅威研究者によって発見されたもので、脅威グループをEarth Pretaとして追跡しており、2022年以降に200人以上の被害者を確認していると報告しています。

トレンドマイクロの可視性に基づくと、Mustang Pandaの標的範囲にはアジア太平洋地域の政府機関が含まれ、主な攻撃手法は政府機関、NGO、シンクタンク、法執行機関を装ったスピアフィッシングメールです。

この脅威グループは以前にも、Google Driveを使用したマルウェアの配布、カスタム回避バックドアワームベースの攻撃チェーンなど、世界中の政府機関を標的とした攻撃で確認されています。

トレンドマイクロが発見したメールには、Setup Factoryのインストーラであるドロッパーファイル(IRSetup.exe)を含む悪意のある添付ファイルが含まれています。

被害者によって実行されると、正規のファイル、マルウェアのコンポーネント、および陽動用のおとりPDFを含む複数のファイルがC:˶ProgramDatasessionにドロップされます。

Files dropped on the infected device
感染したデバイスにドロップされるファイル
Source:トレンドマイクロ

アンチウイルスの回避

感染したマシン上でESETウイルス対策製品(ekrn.exeまたはegui.exe)が検出されると、Mustang PandaはWindows 10以降にプリインストールされているツールを悪用した独自の回避メカニズムを採用します。

悪用はMicrosoft Application Virtualization Injector (MAVInject.exe)から始まり、これはWindowsの正規システムツールで、オペレーティングシステムが実行中のプロセスにコードを注入することを可能にする。

これは主にマイクロソフトのアプリケーション仮想化(App-V)で仮想化アプリケーションを実行するために使用されるが、開発者や管理者がテストや自動化のために別のプロセス内でDLLを実行するために使用することもできる。

2022年、サイバーセキュリティ企業FourCoreは、MAVInject.exeがLOLBINとして悪用される可能性があることを報告し、APP-Vを利用していないデバイスでは実行ファイルをブロックするべきだと警告した。

Mustang Pandaはこの実行ファイルを悪用して、Windowsオペレーティングシステムにプリインストールされている正規のWindowsユーティリティである「waitfor.exe」に悪意のあるペイロードを注入する。

Windows上のwaitfor.exeの正当な機能は、特定のアクションを実行する前にシグナルやコマンドを待つことによって、複数のマシン間でプロセスを同期させることです。

これは主にバッチスクリプトや自動化で使用され、タスクを遅延させたり、他のプロセスが開始する前に特定のプロセスが終了するようにします。

信頼されたシステムプロセスであるため、注入されたマルウェアは通常のWindowsプロセスとして通過し、ESETや他のウイルス対策ツールはマルウェアの実行にフラグを立てません。

waitfor.exeに注入されるマルウェアは、DLLファイル(EACore.dll)内に隠されているTONESHELLバックドアの修正バージョンです。

実行されると、マルウェアはmilitarytc[.]com:443にあるコマンド&コントロールサーバーに接続し、システム情報と被害者IDを送信します。

Attack overview
Mustang Panda 攻撃の概要
ソース:トレンドマイクロ

また、このマルウェアは、リモートでコマンドを実行したり、移動や削除などのファイル操作を行ったりするためのリバースシェルを攻撃者に提供します。

トレンドマイクロでは、この新しい亜種は、その機能的特徴や以前に文書化されたパケット復号化メカニズムから、Mustang Pandaのカスタムツールであると中程度の確信を持って考えています。

更新 2/18/25: ESETは、トレンドマイクロの調査結果に同意せず、以下の声明を:

「ESETのコミュニケーションチームは、APTグループMustang Panda a.k.a. Earth Pretaの標的としてESETの「ウイルス対策アプリケーション」を名指しした、トレンドマイクロが公開した調査ブログを認識しました。

「我々は、この攻撃が「ESETアンチウイルスを効果的にバイパスする」という公表された調査結果には同意しません。これはバイパスではなく、我々はトレンドマイクロがESETに警告を発しなかったことに困惑している。

“報告された手法は目新しいものではなく、ESETのテクノロジーは長年にわたってこの手法から保護してきました。この具体的なマルウェアのサンプルについては、ESETは以前、プレミアムサービスであるCyber Threat Intelligenceを通じてその詳細を公表し、1月以降、具体的な検出を追加していました。ESETは、この脅威を中国と連携するCeranaKeeper APTグループによるものであるとしています。ESETのユーザーはこのマルウェアと手法から保護されています。”