Siber güvenlik uzmanları için önemli bir kilometre taşı, Çin merkezli, karmaşık faaliyetlerini aydınlatan gelişmiş kalıcı bir tehdit (APT) grubu olan Mustang Panda tarafından kullanılan belirli taktiklerin, yöntemlerin ve prosedürlerin (TTP) açıklanmasıdır.
İlk olarak 2017’de gözlemlenen ancak 2014’ten bu yana potansiyel olarak aktif olan Mustang Panda, siber casusluk, hükümet kuruluşları, kâr amacı gütmeyen kuruluşlar, dini örgütler ve ABD, Avrupa, Moğolya, Myanmar, Pakistan ve Vietnam gibi bölgeler arasında STK’lar konusunda uzmanlaşmış devlet destekli bir aktördür.
Grubun ayırt edici özelliği, çok aşamalı kötü amaçlı yazılım yüklerini dağıtmak için jeopolitik veya yerel dil yemlerinden yararlanan son derece özel mızrak-aktı kampanyaları aracılığıyla uzun vadeli zeka toplanmasını içerir.
Yıllar boyunca, PLAGX, Poison Ivy, Toneshell, Pubroad ve FDMTP ve PTSocket gibi gelişmekte olan aileleri, hepsi uç nokta savunmalarını atlatmak için tasarlanmıştır.
2025’in başlarında dikkate değer bir olay, ABD Adalet Bakanlığı ve Fransız yetkililer, Mustang Panda’nın uyarlanabilir tradecraft ve uluslararası güvenlik için ısrarlı bir tehdidi gösteren, kötü niyetli USB sürücüleri aracılığıyla dağıtılan 4.200’den fazla cihazda Plugx enfeksiyonlarını söktüğünde küresel etkilerini vurguladı.
Yürütmenin derinlemesine analizi
Mustang Panda’nın MITER ATT & CK TA0007 ile uyumlu yürütme stratejileri, T1566.001 kapsamında, kötü niyetli pencereler LNK dosyalarının Word veya PDFS gibi iyi huylu belgeler olarak maskelendirilmesi için belirgin bir şekilde spearfishing eklerine sahiptir.
Kullanıcı etkileşimi üzerine, bu dosyalar, şüphe etmek için bir tuzak olarak yumurtlama gibi güvenilir ikili dosyaları taklit ederken, yükleri başlatmak için komut yürütmeyi tetikler.
Picus gibi güvenlik platformlarına göre simülasyonlar, gizlenmiş bir LNK dosyası yürütme, ardından iyi huylu yürütülebilir lansmanlar ve son nokta algılama etkinliğini test eden işlem zincirlerini başlatarak bunu kopyalar.
Benzer şekilde, T1218.007 uyarınca, grup msiexec.exe’yi yaşamanın yürütülmesi için kötüye kullanır, kötü niyetli MSI paketlerini geçici dizinlerden sessiz modda dağıtırsa, bir taktik picus, msiexec.exe /q /i “%tmp%\ in.sys” gibi komutlarla emülasyon yapar.
DLL yan yükleme (T1574.002) için rakipler, arama yollarına kötü niyetli DLL’leri yerleştirerek mpdlpcmd.exe gibi güvenilir ikili dosyaları kullanırlar, picus simülasyonları ikili başlatır ve izleme özelliklerini değerlendirmek için yan yüklenmiş dosyaları arar.
TA0003 altında kalıcılığa geçiş yapan Mustang Panda, HKLM kovanlarında “WindowsDefenderupdater” gibi aldatıcı girişler ekleyerek kayıt defteri çalıştırma anahtarlarını (T1547.001) kaldırır; Picus bunu reg ekle komutları aracılığıyla test eder.
Planlanan görevler (T1053.005), schtasks.exe kullanılarak periyodik olarak çalıştırmak için “inetlsecurityAssistManager” gibi yanıltıcı adlarla oluşturulurken, “reg_windef” gibi yeni Windows Hizmetleri (T1543.003), PowerShell yükleri ile otomatik olarak başlatmak için yapılandırılır, hepsi de probg to Pergals tespiti ile simüle edilir.
Veri toplama teknikleri
Savunma Kaçma’da (TA0005), Mustang Panda, notepad.exe lansmanları ile simüle edilen ve ardından özel enjektörler uzaktan yükleri getiren özel enjektörler getiren özel enjektörler enjeksiyonları ile shellcode’u Werfault.exe’ye enjekte ederek jeton manipülasyonu ve proses enjeksiyonunu (T1134.002) kullanır.
Kimlik Bilgisi Erişim (TA0006), picus, veriye maruz kalmadan uyarıları test etmek için iyi huylu invokasyonları çalıştıran picus ile Picus ile Picus ile SharpDump veya Mimikatz gibi araçları kullanan LSASS bellek dökümünü (T1003.001) içerir.
Rapora göre, Discovery Tactics (TA0007), antivirüs algılama ve disk numaralandırması için WMI sorgularının yanı sıra IPConfig, ARP, rota ve SystemInfo komutları aracılığıyla ağ yapılandırma toplama ve Active Directory Keşif için adfind benzeri araçları içerir.
Log numaralandırması (T1654), kullanıcı etkinliği bilgileri için wevtutil.exe üzerinden Olay Kimliği 4624’ü hedefler. Koleksiyon (TA0009) için ekran çekimleri, ekran görüntüsü.jpg gibi görüntüleri kaydeden .NET ikili dosyalarıyla gerçekleştirilir.
Bu sızdırılan TTP’ler, Mustang Panda’nın gizli, çok yönlü saldırılarına karşı koyarak sağlam uç nokta ve SIEM konfigürasyonlarının ihtiyacının altını çizerek, geliştirilmiş esneklik için proaktif simülasyon testlerini vurgulamaktadır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!