Siber Savaş / Ulus-Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar , Coğrafi Odak: Asya
Mustang Panda, Asya ve Avrupa’daki Kurbanları Hedef Almak İçin MQsTTang Aracını Kullanıyor, Eset Bulunuyor
Akşaya Asokan (asokan_akshaya) •
3 Mart 2023
Güvenlik şirketi Eset’in yeni bir raporuna göre, Çin ulus devlet bilgisayar korsanları, Avrupa ve Asya’daki devlet kurumlarını hedef alan son kampanyanın bir parçası olarak daha önce görülmemiş bir kötü amaçlı yazılım arka kapısını kullanıyor.
Ayrıca bakınız: Canlı Web Semineri | Çok Faktörlü Kimlik Doğrulamayı Hackleme: Bir BT Uzmanının 150 MFA Ürününü Test Ettikten Sonra Öğrendiği Dersler
Eset araştırmacıları tarafından MQsTTang olarak adlandırılan yeni arka kapı, özellikle Ukrayna ve Tayvan’daki devlet kurumlarını hedef alan ve Ocak ayında başlayan devam eden bir hedefli kimlik avı kampanyasının parçası olarak Mustang Panda hack grubu tarafından kullanılıyor.
Rapora göre, yeni arka kapı, komut ve kontrol sunucuları olarak IoT cihazları arasındaki iletişimi kolaylaştırmak için bir MQTT protokolü kullanıyor ve bu da protokolün uygulamasının kötü amaçlı yazılımda tespit edildiği bilinen ilk vaka olmasını sağlıyor.
Raporda, “Bir saldırganın bakış açısından, MQTT’nin avantajlarından biri, altyapılarının geri kalanını bir aracının arkasına gizlemesidir” diyor. “Bu nedenle, güvenliği ihlal edilmiş makine hiçbir zaman C&C sunucusuyla doğrudan iletişim kurmaz.”
Rapora göre, kötü amaçlı yazılım şu anda bir web sunucusunda barındırılan RAR dosyaları olarak yayılıyor. Kötü amaçlı yazılım dağıtıldıktan sonra, komuta ve kontrol sunucusuyla bağlantı kurmak ve kalıcılık sağlamak gibi bir dizi görevi yerine getirir.
Eset araştırmacıları, bu kampanyanın arkasındaki nedenden emin değiller, ancak bunun Mustang Panda tarafından yeni aracı test etmek için “deneme yanılma” yoluyla kullanılabileceğini söylüyorlar. Rapor ayrıca, en son kötü amaçlı yazılımın pek çok sürümünün vahşi ortamda tespit edilmediğini de söylüyor.
Bronz Başkan ve HoneyMyte olarak da bilinen Mustang Panda, siber casusluk faaliyetleri için devlet kurumlarını hedef aldığı bilinen bir Çin tehdit grubudur.
Güvenlik şirketi CrowdStrike’ın yakın tarihli bir uyarısına göre, grup şu anda sıfır günleri ve diğer güvenlik açıklarını ABD kuruluşlarını hedef almak için kullanan bir dizi Çinli ulus devlet grubu arasında yer alıyor (bkz:: Çin Devlet Bilgisayar Korsanları Yeteneklerini Seviyelendiriyor: CrowdStrike).