Хакеры атакуют через доверенный инструмент Microsoft, маскируя угрозу под легитимные процессы

25.04.2025

Киберпреступники активно эксплуатируют легитимную утилиту Microsoft mavinject.exe для внедрения вредоносных DLL в системы, обходя защитные меры. Инструмент, предназначенный для работы в средах виртуализации App-V, задействует ряд API Windows (OpenProcess, VirtualAllocEx, WriteProcessMemory, CreateRemoteThread) для загрузки кода в доверенные процессы. Это позволяет злоумышленникам маскировать атаки под легитимные операции. О том, как бороться с этой угрозой, рассказала эксперт компании «Газинформсервис» Ирина Дмитриева.

Уже известно о двух APT-групппировках, которые активно применяют эту технику. Earth Preta (связанная с Китаем) внедряет бэкдоры через фишинговые письма, используя mavinject.exe для связи с серверами C2. Популярная в киберпреступном мире Lazarus Group атакует через explorer.exe, эксплуатируя доверие к системным процессам.

Инженер-аналитик лаборатории исследований кибербезопасности компании «Газинформсервис» Ирина Дмитриева отмечает, что использование mavinject.exe подчёркивает двойственную природу системных утилит. Они служат законным целям, но злоумышленники могут использовать их потенциал против пользователей. Этот случай — яркое напоминание о том, как важно понимать векторы атак и постоянно меняющиеся угрозы кибербезопасности.

«Для противодействия этой угрозе при мониторинге и детектировании необходимо отслеживать подозрительные вызовы API, связанные с mavinject.exe. Для удобства отслеживания угрозы ей присвоен номер в матрице MITRE ATTACK — T1218 — и описаны способы минимизации рисков. В частности, в детектах рекомендуется отслеживать последовательность OpenProcess → VirtualAllocEx → WriteProcessMemory → CreateRemoteThread. При отсутствии App-V рекомендуется блокировать утилиту через групповые политики. В то же время важно использовать EDR-системы для выявления внедрения DLL в критические процессы (например, explorer.exe). Также напомню об угрозе действий кибергруппировок: рекомендуется учитывать сигнатуры Earth Preta и Lazarus Group в системах обнаружения. Таким набором компетенций обладают специалисты центра мониторинга и реагирования GSOC компании "Газинформсервис"», — сообщает киберэксперт Дмитриева.