趨勢科技最新報告指出,中國進階持續性威脅(APT)駭客組織 Mustang Panda(又稱Earth Preta)正在濫用微軟應用程式虛擬化注入工具(MAVInject.exe)作為系統原生二進制檔案(Living-off-the-Land Binary,簡稱LOLBIN),以規避防毒軟體的偵測。自2022年以來,該組織已造成超過200個受害者。
攻擊手法與目標
根據趨勢科技的觀察, Mustang Panda組織主要針對亞太地區的政府機構進行攻擊。其主要攻擊方式是透過魚叉式網路釣魚郵件,這些郵件偽裝成來自政府機構、非政府組織、智庫或執法單位的通知。
相關文章:中國駭客組織 RedDelta 鎖定台灣發動新一波間諜活動
攻擊者使用Setup Factory安裝程式製作的惡意檔案(
IRSetup.exe)作為初始感染點。當受害者執行該檔案後,系統會在
C:\ProgramData\session路徑下釋放多個檔案,包括合法檔案、惡意程式組件,以及用於誤導的PDF文件。
創新的規避技術
當系統偵測到ESET防毒軟體的進程(ekrn.exe或egui.exe)時,攻擊者會採用一種獨特的規避機制,濫用Windows 10及更新版本預裝的系統工具。具體而言:
- 攻擊者利用Microsoft MAVInject.exe這個合法的Windows系統工具。該工具原本用於將程式碼注入執行中的程序,主要服務於Microsoft的應用程式虛擬化(App-V)功能。
- 惡意程式會被注入到Windows系統預裝的waitfor.exe程序中。Waitfor.exe是一個用於跨機器同步處理的合法Windows工具,因其為受信任的系統程序,使得注入的惡意程式能夠規避安全軟體的檢測。
- 注入的惡意程式是TONESHELL後門的修改版本,隱藏在名為EACore.dll的動態連結程式庫檔案中。執行後,惡意程式會連接到指定的命令和控制伺服器(militarytc[.]com:443),傳送系統資訊和受害者識別碼。
ESET回應
針對趨勢科技的研究發現,ESET於2025年2月18日發表回應聲明。ESET表示對於研究中聲稱該攻擊「有效繞過ESET防毒軟體」的說法感到疑惑,並指出Trend Micro在發布研究前並未與ESET討論相關發現。ESET進一步解釋,這類攻擊技術其實並不新穎,該公司的防護技術多年來一直能夠有效防範此類威脅。ESET在今年一月就已經通過其高級網路威脅情報服務發布了相關威脅情報,並實施了特定的偵測機制。根據ESET的分析,他們已將此威脅歸因於與中國有關的CeranaKeeper APT組織,且目前所有ESET用戶都已受到完整保護,能夠有效防範此類惡意程式和攻擊技術。
防護建議
安全專家建議組織採取以下防護措施:
- 在不使用APP-V的設備上封鎖MAVInject.exe的執行
- 加強對魚叉式網路釣魚郵件的防護意識
- 定期更新系統和安全軟體
- 監控系統中異常的程序注入行為
- 特別關注來自可疑政府機構或組織的通知郵件