El grupo de amenazas persistentes avanzadas (APT) conocido como Earth Preta, también identificado como Mustang Panda, ha adoptado técnicas más sofisticadas para evadir la detección en sus campañas de ciberespionaje. Según un informe reciente de Trend Micro, los investigadores han observado que este grupo combina componentes legítimos y maliciosos en sus ataques, lo que les permite infiltrarse en sistemas objetivo sin ser detectados.
Uso de MAVInject.exe para inyección de código
Una de las tácticas destacadas implica el uso de la herramienta de Windows MAVInject.exe, que permite la inyección de código en procesos externos. Earth Preta utiliza esta herramienta para insertar su carga maliciosa en el proceso waitfor.exe cuando detecta la presencia del antivirus ESET en el sistema. Esta técnica les permite ocultar sus actividades maliciosas dentro de procesos legítimos del sistema, reduciendo la probabilidad de detección.
 |
| Proceso de detección de ESET |
Implementación de cargas útiles mediante Setup Factory
Además, Earth Preta emplea Setup Factory para desplegar y ejecutar sus cargas maliciosas. Este instalador legítimo se utiliza para mantener la persistencia en el sistema comprometido y evitar ser detectado por soluciones de seguridad. Durante el ataque, se despliegan múltiples archivos, incluyendo ejecutables legítimos y componentes maliciosos, junto con un archivo PDF señuelo diseñado para distraer a la víctima mientras se lleva a cabo la infección.
 |
| Cadena de ejecución |
Sideloading de malware con aplicaciones legítimas
Otra técnica observada es el uso de aplicaciones legítimas, como las de Electronic Arts, para cargar de manera lateral (sideloading) variantes del backdoor TONESHELL. Este malware establece comunicación con un servidor de comando y control (C&C) para la exfiltración de datos y el control remoto del sistema comprometido. Al integrarse con aplicaciones confiables, el malware puede operar de manera encubierta, dificultando su detección por parte de herramientas de seguridad.
Recomendaciones de seguridad
Para mitigar los riesgos asociados con estas tácticas avanzadas, se recomienda a las organizaciones implementar las siguientes medidas:
- Monitoreo de procesos y actividades inusuales: Vigilar el uso de herramientas como MAVInject.exe y la ejecución de procesos inesperados puede ayudar a identificar actividades sospechosas.
- Control de aplicaciones permitidas: Implementar listas blancas de aplicaciones para garantizar que solo se ejecuten programas autorizados en los sistemas corporativos.
- Actualización regular de software: Mantener todos los sistemas y aplicaciones actualizados con los últimos parches de seguridad para reducir las vulnerabilidades explotables.
- Educación y concienciación: Capacitar a los empleados sobre las tácticas de phishing y las técnicas de ingeniería social utilizadas por actores maliciosos como Earth Preta.
La adopción de estas medidas puede fortalecer la postura de seguridad de las organizaciones y reducir la efectividad de las técnicas de evasión empleadas por grupos APT como Earth Preta.
Fuente: Earth Preta Mixes Legitimate and Malicious Components to Sidestep Detection | Trend Micro (US)
