中国アクターMustang Panda、Windowsの正規ユーティリティを使って検出回避

佐々山 Tacos

2025.02.19

中国アクターMustang Panda、正規の実行ファイルMAVInject[.]exeを使って検出回避

The Hacker News – Feb 18, 2025

中国の国家支援型アクターMustang Pandaが採用し始めた新たな手法について、Trend Microの研究者が報告。同アクターは検出を回避したり、感染したシステムでのコントロールを維持したりするため、Microsoft Windowsの正規ユーティリティを悪用しているという。

トレンドマイクロが特定したMustang Panda（別称：BASIN、BRONZE PRESIDENT、Earth Preta、Twill Typhoonなど）の新たな手法は、ESET製アンチウイルスアプリケーションが検出された際に使われる。大まかな流れは、Microsoft Application Virtualization Injector（MAVInject.exe）という正規ユーティリティを使って有害ペイロードを外部プロセス（waitfor.exe）に注入することで、ESET製品による検出を回避するというもの。このほか、ペイロードの投下や実行にはWindowsソフトウェアのインストーラービルダーであるSetup Factoryも使われているという。

攻撃においてMustang Pandaはまず、Setup Factoryの「IRSetup.exe」という実行ファイルをドロッパーとして使い、複数のファイルをドロップする。これにはタイ在住のユーザーを狙った作りのルアードキュメントも含まれており、攻撃者が被害者を絞り込むためにスピアフィッシングメールを使っている可能性があることが示唆されているという。その後、ドロッパーは正規のElectronic Arts（EA）製アプリケーション（OriginLegacyCLI.exe）を実行し、これにより「EACore.dll」という不正なDLLをサイドロードする。なおこのDLLは、Mustang Pandaとの関連が指摘されるバックドア「TONESHELL」の修正版だという。

EACore.dllの主要な役割は、ESET製アンチウイルスに関連するプロセス「ekrn.exe」または「egui.exe」の有無をチェックすること。もしいずれかが感染したホスト上で実行されている場合、同DLLは「waitfor.exe」を実行し、その後アンチウイルスによるフラグ付与を防ぐために「MAVInject.exe」を利用してwaitfor.exeへ有害なコードを注入する。MAVInject.exeを使うと、ランニングプロセスへの注入によって有害コードをプロキシ実行することができ、ESETによる検出をバイパスできるという。

攻撃の終盤では、埋め込まれていたシェルコードが復号されてリモートサーバー（www[.]militarytc[.]com:443）との接続が確立され、マルウェアはリバースシェルの確立やファイルの移動・削除といった目的のためにコマンドを受信できるようになる。

上記の攻撃チェーンは、Mustang Pandaが検出回避手法の開発・精錬において高度な専門知識を有していることを実証していると、トレンドマイクロは指摘。正規アプリケーションも多用されることから、検出の取り組みはより複雑になるとも述べた。これを踏まえ、組織には正規のプロセスおよび実行ファイルにおける異常なアクティビティを特定できるよう注力してモニタリング能力の強化を図り、同アクターのようなAPTグループの進化する戦術に遅れを取らないようにすることが求められている。