De Chinese APT-hackergroep “Mustang Panda” is gespot bij het misbruiken van de Microsoft Application Virtualization Injector utility als een LOLBIN om kwaadaardige payloads in legitieme processen te injecteren om zo detectie door antivirussoftware te ontwijken.

Deze techniek is ontdekt door dreigingsonderzoekers bij Trend Micro, die de dreigingsgroep volgen als Earth Preta, en zij rapporteren dat ze sinds 2022 meer dan 200 slachtoffers hebben geverifieerd.

Het doelwitbereik van Mustang Panda, gebaseerd op de zichtbaarheid van Trend Micro, omvat overheidsinstanties in de Azië-Pacific regio, terwijl de primaire aanvalsmethode spear-phishing e-mails zijn die afkomstig lijken te zijn van overheidsinstanties, NGO’s, denktanks of wetshandhavingsinstanties.

Voorheen was de dreigingsgroep betrokken bij aanvallen op overheden wereldwijd met behulp van Google Drive voor malwareverspreiding, aangepaste ontwijkende achterdeurtjes en een wormgebaseerde aanvalsketen.

De e-mails die door Trend Micro zijn gespot bevatten een kwaadaardige bijlage met het droppelbestand (IRSetup.exe), een Setup Factory-installer.

Als dit door het slachtoffer wordt uitgevoerd, worden er meerdere bestanden in C:ProgramDatasession gekopieerd, waaronder legitieme bestanden, de malwarecomponenten en een lokaas-PDF om als afleiding te dienen.

Antivirus ontwijken

Wanneer ESET-antivirusproducten worden gedetecteerd (ekrn.exe of egui.exe) op een gecompromitteerde machine, gebruikt Mustang Panda een uniek ontwijkingsmechanisme dat vooraf geïnstalleerde tools op Windows 10 en later benut.

Het misbruik begint met de Microsoft Application Virtualization Injector (MAVInject.exe), een legitieme Windows-systeemttool die het besturingssysteem toestaat om code in draaiende processen te injecteren.

Het wordt voornamelijk gebruikt door Microsoft’s Application Virtualization (App-V) om gevirtualiseerde applicaties uit te voeren, maar ontwikkelaars en beheerders kunnen het ook gebruiken om DLL’s binnen een ander proces uit te voeren voor testen of automatisering.

In 2022 rapporteerde cybersecuritybedrijf FourCore dat MAVInject.exe als een LOLBIN kan worden misbruikt, en waarschuwde dat het uitvoerbare bestand geblokkeerd moet worden op apparaten die geen APP-V gebruiken.

Mustang Panda misbruikt het uitvoerbare bestand om kwaadaardige payloads te injecteren in ‘waitfor.exe’, een legitieme Windows-hulpprogramma dat vooraf geïnstalleerd is in Windows-besturingssystemen.

De legitieme functie van waitfor.exe op Windows is om processen over meerdere machines te synchroniseren door te wachten op een signaal of commando voordat een specifieke actie wordt uitgevoerd.

Het wordt voornamelijk gebruikt in batch scripting en automatisering voor het vertragen van taken of ervoor zorgen dat specifieke processen voltooien voordat anderen starten.

Aangezien het een vertrouwd systeemproces is, wordt de malware die erin is geïnjecteerd beschouwd als een normaal Windows-proces, waardoor ESET, en mogelijk andere antivirusprogramma’s, de uitvoering van de malware niet markeren.

De malware die is geïnjecteerd in waitfor.exe is een aangepaste versie van de TONESHELL backdoor, die verborgen zit in een DLL-bestand (EACore.dll).

Zodra het draait, maakt de malware verbinding met zijn command en control server op militarytc[.]com:443, en stuurt systeeminformatie en slachtoffer-ID.

De malware biedt aanvallers ook een reverse shell voor uitvoering van opdrachten op afstand en bestandsbewerking, zoals verplaatsen en verwijderen.

Trend Micro gelooft met gemiddelde zekerheid dat deze nieuwe variant een aangepast Mustang Panda-hulpmiddel is op basis van zijn functionele kenmerken en eerder gedocumenteerde pakketversleutelingsmechanismen.