Уже известно о двух APT-групппировках, которые активно применяют эту технику. Earth Preta (связанная с Китаем) внедряет бэкдоры через фишинговые письма, используя mavinject.exe для связи с серверами C2. Популярная в киберпреступном мире Lazarus Group атакует через explorer.exe, эксплуатируя доверие к системным процессам.
Инженер-аналитик лаборатории исследований кибербезопасности компании «Газинформсервис» Ирина Дмитриева отмечает, что использование mavinject.exe подчёркивает двойственную природу системных утилит. Они служат законным целям, но злоумышленники могут использовать их потенциал против пользователей. Этот случай — яркое напоминание о том, как важно понимать векторы атак и постоянно меняющиеся угрозы кибербезопасности.
«Для противодействия этой угрозе при мониторинге и детектировании необходимо отслеживать подозрительные вызовы API, связанные с mavinject.exe. Для удобства отслеживания угрозы ей присвоен номер в матрице MITRE ATTACK — T1218 — и описаны способы минимизации рисков. В частности, в детектах рекомендуется отслеживать последовательность OpenProcess → VirtualAllocEx → WriteProcessMemory → CreateRemoteThread. При отсутствии App-V рекомендуется блокировать утилиту через групповые политики. В то же время важно использовать EDR-системы для выявления внедрения DLL в критические процессы (например, explorer.exe). Также напомню об угрозе действий кибергруппировок: рекомендуется учитывать сигнатуры Earth Preta и Lazarus Group в системах обнаружения. Таким набором компетенций обладают специалисты центра мониторинга и реагирования GSOC компании "Газинформсервис"», — сообщает киберэксперт Дмитриева.
