Νέες επιθέσεις που αποδίδονται στην ομάδα κυβερνοκατασκοπείας Mustang Panda με έδρα την Κίνα δείχνουν ότι ο παράγοντας απειλής μεταπήδησε σε νέες στρατηγικές και κακόβουλο λογισμικό που ονομάζονται FDMTP και PTSOCKET για να κατεβάσει ωφέλιμα φορτία και να κλέψει πληροφορίες από παραβιασμένα δίκτυα.
Οι ερευνητές ανακάλυψαν ότι οι χάκερ χρησιμοποιούν μια παραλλαγή του ιού τύπου worm HIUPAN για να παραδώσουν το PUBLOAD malware stager μέσω αφαιρούμενων μονάδων δίσκου στο δίκτυο.
Η Mustang Panda, (επίσης γνωστή ως HoneyMyte/Broze President/Earth Preta/Polaris/Stately Taurus) είναι μια κινεζική κρατική ομάδα χάκερ που εστιάζει σε επιχειρήσεις κυβερνοκατασκοπείας εναντίον κυβερνητικών και μη κυβερνητικών φορέων κυρίως στην Ασία-Ειρηνικό, αλλά οργανώσεις σε άλλες περιοχές
Αλυσίδα επίθεσης που βασίζεται σε σκουλήκια
Η Mustang Panda συνήθως χρησιμοποιεί emails spear-phishing ως αρχικό φορέα πρόσβασης, αλλά σε μια έκθεση που δημοσιεύτηκε σήμερα, ερευνητές της εταιρείας κυβερνοασφάλειας Trend Micro λένε ότι νέες επιθέσεις από τον παράγοντα απειλών διέδωσαν το PUBLOAD στο δίκτυο μέσω αφαιρούμενων μονάδων δίσκου που έχουν μολυνθεί με μια παραλλαγή του ιού τύπου worm HIUPAN .
Το HIUPAN κρύβει την παρουσία του μετακινώντας όλα τα αρχεία του σε έναν κρυφό κατάλογο και αφήνοντας μόνο ένα φαινομενικά νόμιμο αρχείο (“USBConfig.exe”) ορατό στη μονάδα δίσκου για να εξαπατήσει τον χρήστη να το εκτελέσει.
Το PUBLOAD είναι το κύριο εργαλείο ελέγχου στις επιθέσεις. Εκτελείται στο σύστημα μέσω πλευρικής φόρτωσης DLL, εδραιώνει την επιμονή τροποποιώντας το μητρώο των Windows και, στη συνέχεια, εκτελεί εντολές ειδικές για αναγνώριση για να χαρτογραφήσει το δίκτυο.
Εκτός από το PUBLOAD, ο παράγοντας απειλής χρησιμοποίησε ένα νέο κομμάτι κακόβουλου λογισμικού που ονομάζεται FDMTP, το οποίο λειτουργεί ως δευτερεύον εργαλείο ελέγχου. Οι ερευνητές λένε ότι το FDMTP είναι ενσωματωμένο στην ενότητα δεδομένων ενός DLL και μπορεί επίσης να αναπτυχθεί μέσω πλευρικής φόρτωσης DLL.
Σύμφωνα με τους ερευνητές, η συλλογή δεδομένων σε πιο πρόσφατες επιθέσεις Mustang Panda γίνεται σε αρχεία RAR και στόχους .DOC, .DOCX, .XLS, .XLSX, .PDF, .PPT και .PPTX αρχεία από καθορισμένες ημερομηνίες λήξης.
Ο παράγοντας απειλής διεισδύει στις πληροφορίες μέσω PUBLOAD χρησιμοποιώντας το εργαλείο cURL. Ωστόσο, υπάρχει μια εναλλακτική λύση στο προσαρμοσμένο εργαλείο μεταφοράς αρχείων PTSOCKET, μια εφαρμογή που βασίζεται στο TouchSocket μέσω DMTP.
Εκστρατεία ψαρέματος με δόρυ τον Ιούνιο
Τον Ιούνιο, οι ερευνητές παρατήρησαν μια “γρήγορη εκστρατεία ψαρέματος με δόρυ” από τη Mustang Panda για να παραδώσει το πρόγραμμα λήψης DOWNBAIT που ανακτούσε ένα έγγραφο δόλωμα καθώς και το κακόβουλο λογισμικό PULLBAIT, το οποίο εκτελείται στη μνήμη.
Στη συνέχεια, ο εισβολέας ανακτά και εκτελεί την κερκόπορτα πρώτου σταδίου που ονομάζεται CBROVER και είναι ψηφιακά υπογεγραμμένη για να αποφύγει την ενεργοποίηση του συναγερμού.
Παρατηρήθηκε ότι η Mustang Panda χρησιμοποιεί το PLUGX για να εισαγάγει άλλα εργαλεία όπως το “FILESAC”, ένα εργαλείο που συλλέγει αρχεία εγγράφων όπως .DOC, .XLS, .PDF, .DWG, .PPTX, .DOCX και τα εξάγει.
Η Trend Micro σημειώνει ότι υπάρχει μια άλλη μέθοδος διήθησης που πιθανότατα περιλαμβάνει την κατάχρηση του Microsoft OneDrive, αλλά οι ερευνητές δεν μπόρεσαν να βρουν το εργαλείο που χρησιμοποιήθηκε για την εργασία. Η ομάδα απειλών έχει δει στο παρελθόν να κάνει κατάχρηση του Google Drive για την εισαγωγή κακόβουλου λογισμικού σε κυβερνητικά δίκτυα.
Οι ερευνητές της Trend Micro λένε ότι η Mustang Panda, την οποία η εταιρεία παρακολουθεί ως Earth Preta, έχει κάνει σημαντικά βήματα στην «ανάπτυξη κακόβουλου λογισμικού και στρατηγικές, ιδιαίτερα στις εκστρατείες τους που στοχεύουν κυβερνητικές οντότητες» (π.χ. στρατός, αστυνομία, υπηρεσίες εξωτερικών υποθέσεων, πρόνοια, εκτελεστική εξουσία και εκπαίδευση στην περιοχή APAC).
Σημειώνουν ότι ο παράγοντας της απειλής συνεχίζει να είναι ιδιαίτερα δραστήριος στην περιοχή και οι νέες τακτικές δείχνουν ότι εστιάζει σε «πολύ στοχευμένες και ευαίσθητες στο χρόνο επιχειρήσεις».
Μια πλήρης λίστα δεικτών συμβιβασμού (IoC) που σχετίζονται με τις τελευταίες καμπάνιες της Mustang Panda είναι διαθέσιμο εδώ.
VIA: bleepingcomputer.com