Askeri Yığınlanmanın Ortasında Çin, Filipinler’de Mustang Pandayı Konuşlandırıyor



Bu yaz Güney Çin Denizi’ndeki dramatik askeri yığınak sırasında, Çin devletine bağlı gelişmiş kalıcı tehdit (APT), son derece basit bir yandan yükleme tekniği kullanarak Filipin hükümeti içindeki bir varlığı tehlikeye atmayı başardı.

Bronz Başkan, Camaro Dragon, Earth Preta, Luminous Moth, Red Delta olarak bilinen ve Palo Alto Networks’ün 42. Birimi tarafından Görkemli Taurus olarak takip edilen suçlu Mustang Panda, yüksek profilli hükümet ve hükümete komşu kuruluşlar hakkında casusluk yaptı. En az 2012’den beri Web’de.

17 Kasım’da Birim 42 tarafından özetlenen yakın tarihli bir vakada grup, Güney Pasifik örgütlerine karşı üç benzer kampanya yürüttü; bunlardan biri Filipin hükümet örgütünün beş günlük başarılı bir şekilde uzlaşmasına yol açtı.

Mustang Panda’nın Basit TTP’leri

Çin sahil güvenliğinin Filipin tedarik gemilerini bloke edip tazyikli su sıktığı Ağustos ayı başlarından başlayarak, iki Güney Pasifik ülkesi, Güney Çin Denizi’nde sıklıkla görülen türden, aylarca süren, giderek ciddileşen bir melodrama girişti.

Görünüşe göre askeri başbaşa kalma sırasında Çinli hackerlar eş zamanlı olarak siber uzaydaki Filipin kuruluşlarına saldırıyorlardı.

Ayın ilk yarısında, Çin’in Mustang Panda’sı Güney Pasifik’te, birkaç küçük farklılık dışında büyük ölçüde aynı stratejiyi takip eden üç saldırı düzenledi.

Her biri genellikle Google Drive’da barındırılan bir ZIP dosyasıyla başladı. Kötü amaçlı yazılım paketine “NUG’nin Dış Politika Stratejisi.zip” gibi meşru görünen bir ad verilecek. Çıkartıldığında, “Labour Statement.exe” gibi benzer bir meşru isme sahip tek bir EXE dosyası ortaya çıkar.

Dosya, belgeleri PDF’lere dönüştürmek için meşru bir uygulama olan Solid PDF Creator’ın yeniden adlandırılmış bir kopyasından başka bir şey olmayacaktır. İşin püf noktası, uygulamayı başlatmanın ikinci bir dosyayı (orijinal ZIP’in içine gizlenmiş bir dinamik bağlantı kitaplığı (DLL)) yüklemesiydi. DLL, saldırganlara komuta ve kontrol (C2) kurabilecekleri bir nokta sağlayacaktır.

Mustang Pandayla Başa Çıkmak

Ağustos ayı boyunca Mustang Panda, casusluğunu Malezya merkezli bilinen IP adreslerinden birinden gerçekleştirdi. Bir Microsoft etki alanı olan “wcpstatic.microsoft”u taklit ederek kötü amaçlı trafiğini ince bir şekilde maskelemeye çalıştı.[.]com.”

Birim 42 araştırmacıları, 10-15 Ağustos tarihleri ​​arasında, söz konusu IP adresi ile Filipin devlet kurumu arasında bu türden çok sayıda kötü niyetli iletişim keşfetti. O dönemde veya ilgili herhangi bir Ağustos saldırısında aktarılmış olabilecek kesin veriler hala bilinmiyor.

Unit 42 analistleri, bloglarında “Stately Taurus, Çin’in en aktif APT’lerinden biri olarak kalıcı siber casusluk operasyonları yürütme yeteneğini göstermeye devam ettiğinden” kuruluşların makine öğrenimi destekli güvenlik duvarları, XDR ve tehdit istihbaratı çözümleri kullanmasını tavsiye ediyor.



Source link