Earth Preta 混合合法与恶意组件规避检测

趋势科技威胁狩猎团队发现 Earth Preta（又称 Mustang Panda）使用微软应用程序虚拟化注入器（MAVInject.exe）将有效载荷注入 waitfor.exe，并在检测到 ESET 杀毒软件时利用 Setup Factory 安装程序投放和执行恶意负载以实现持久化。

攻击链分析

初始恶意文件 IRSetup.exe 在 ProgramData/session 目录投放多个文件，包含合法可执行文件和恶意组件。攻击者同时执行针对泰国用户的诱饵 PDF 文件，在后台部署恶意负载时分散受害者注意力。

TONESHELL 后门技术细节

恶意 DLL 文件 EACore.dll（TONESHELL 变种）通过合法电子艺界应用 OriginLegacyCLI.exe 进行侧加载。该后门检测到 ESET 进程（ekrn.exe 或 egui.exe）时，通过 regsvr32.exe 执行 DLLRegisterServer 函数，并利用 MAVInject.exe 将恶意代码注入 waitfor.exe 进程。

异常处理机制

当未检测到 ESET 软件时，恶意代码通过 WriteProcessMemory 和 CreateRemoteThreadEx API 直接向 waitfor.exe 注入代码。

C&C 通信分析

恶意软件解密存储在.data 段的 shellcode，与 C2 服务器 www.militarytc.com:443 通信。其通信协议生成随机标识符并收集计算机名，支持反向 shell、文件删除和移动等命令功能。

归因分析

该变种采用与 Earth Preta 相似的 TTPs（鱼叉式钓鱼），使用 CoCreateGuid 生成独立存储的受害者 ID，且 C2 服务器与其他 Earth Preta 样本关联，因此以中等置信度归因于该组织。

防护建议

组织应增强监控能力，重点关注合法进程和可执行文件中的异常活动，以应对 Earth Preta 等 APT 组织不断演变的规避技术。

本文涉及技术要点：代码注入、进程 Hollowing、侧加载、C2 通信加密、异常处理机制规避检测。更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）公众号二维码

办公AI智能小助手