Bu yaz Güney Çin Denizi’ndeki dramatik askeri yığınak sırasında, Çin devletine bağlı gelişmiş kalıcı tehdit (APT), son derece basit bir yandan yükleme tekniği kullanarak Filipin hükümeti içindeki bir varlığı tehlikeye atmayı başardı.
Bronz Başkan, Camaro Dragon, Earth Preta, Luminous Moth, Red Delta olarak bilinen ve Palo Alto Networks’ün 42. Birimi tarafından Görkemli Taurus olarak takip edilen suçlu Mustang Panda, onu gözetledi. yüksek profilli hükümet Ve hükümete yakın kuruluşlar En az 2012’den beri Web üzerinden.
Yakın zamandaki bir vakada, 17 Kasım’da Ünite 42 tarafından özetlendiGrup, Güney Pasifik örgütlerine karşı üç benzer kampanya yürüttü; bunlardan biri Filipin hükümet örgütünün beş günlük başarılı bir şekilde uzlaşmasına yol açtı.
Mustang Panda’nın Basit TTP’leri
Ağustos ayının başında Çin sahil güvenliğinin bloke edildi ve tazyikli su sıkıldı Filipin ikmal gemilerinde, iki Güney Pasifik ülkesi aylarca süren ve giderek ciddileşen benzer bir melodrama sahne oldu Güney Çin Denizi’nde sıklıkla görülür.
Görünüşe göre askeri başbaşa kalma sırasında Çinli hackerlar eş zamanlı olarak siber uzaydaki Filipin kuruluşlarına saldırıyorlardı.
Ayın ilk yarısında, Çin’in Mustang Panda’sı Güney Pasifik’te, birkaç küçük farklılık dışında büyük ölçüde aynı stratejiyi takip eden üç saldırı düzenledi.
Her biri bir ZIP dosyasıyla başladı. Palo Alto’daki Birim 42’nin kıdemli yöneticisi Pete Renals, “Genellikle aktörlerin kötü amaçlı dosyalarını bulut depolama sağlayıcılarında barındırdığını ve ardından kurbanları, dosyaları indirmek için bir kimlik avı e-postasında güvenilir bir depolama platformuna yönlendiren bir bağlantıya tıklamaya ikna ettiklerini görüyoruz” diyor. Ağlar. Örneğin, “ilk kampanya için dosyaların indirilmek üzere Google Drive’da barındırıldığı tespit edildi.”
Kötü amaçlı yazılım paketine “NUG’nin Dış Politika Stratejisi.zip” gibi meşru görünen bir ad verilecek. Çıkartıldığında, “Labour Statement.exe” gibi benzer bir meşru isme sahip tek bir EXE dosyası ortaya çıkar.
Dosya, belgeleri PDF’lere dönüştürmek için meşru bir uygulama olan Solid PDF Creator’ın yeniden adlandırılmış bir kopyasından başka bir şey olmayacaktır. İşin püf noktası, uygulamayı başlatmanın ikinci bir dosyayı (orijinal ZIP’in içine gizlenmiş bir dinamik bağlantı kitaplığı (DLL)) yüklemesiydi. DLL, saldırganlara komuta ve kontrol (C2) kurabilecekleri bir nokta sağlayacaktır.
Mustang Pandayla Başa Çıkmak
Ağustos ayı boyunca Mustang Panda, casusluğunu Malezya merkezli bilinen IP adreslerinden birinden gerçekleştirdi. Bir Microsoft etki alanı olan “wcpstatic.microsoft”u taklit ederek kötü amaçlı trafiğini ince bir şekilde maskelemeye çalıştı.[.]com.”
Söz konusu IP adresi ile Filipin hükümeti kuruluşu arasında 10-15 Ağustos tarihleri arasında bu türden çok sayıda kötü amaçlı iletişim gönderildi. O dönemde veya ilgili herhangi bir Ağustos saldırısında aktarılmış olabilecek kesin veriler hala bilinmiyor.
Mustang Panda’nın taktikleri ilk bakışta basit gibi görünse de Renals bunların hâlâ etkili olduğu ve kuruluşların hâlâ dikkatli olması gerektiği konusunda uyarıyor.
“Kötü amaçlı yazılım dağıtmak için DLL dışarıdan yüklemeyi kullanan APT’ler yeni veya yeni değil. Bununla birlikte, bu tekniğin Stately Taurus aktörleri tarafından kullanılmaya devam edilmesi, VirusTotal gibi platformlarda minimum tespit oranlarıyla birleştiğinde, bu tekniğin operasyonlarını mümkün kılan etkili bir araç olmaya devam ettiğini gösteriyor.” ,” diye bitiriyor.