Bu kampanyanın arkasındaki bilgisayar korsanı grubu, Mustang Panda adlı kötü şöhretli Çinli APT grubuyken, saldırının ana hedefleri Asya ve Avrupa’daki hükümet ve siyasi örgütlerdir.
Mustang PandasıKötü şöhretli bir Çinli APT grubu olan MQsTTang adlı yeni, özel bir arka kapı konuşlandırdığı bildirildi. Slovak siber güvenlik firması ESET, 2021’in başlarında başlayan bu kampanyayı analiz etti.
ESET araştırmacısı Alexandre CT Cyr MQsTTang’a göre, Ocak 2023’te başlayan bir sosyal mühendislik kampanyasında daha önce görülmemiş bir özel arka kapı kullanıldı.
Bu arka kapı, mevcut herhangi bir kötü amaçlı yazılım ailesine veya halka açık projelere dayalı değildir. ESET, saldırganların Avrupa siyasi örgütlerini hedef alan önceki kampanyalarıyla uyumlu sahte dosya adları kullandığını belirtti.
Hedefler kimlerdir?
ESET, saldırganların Avustralya ve Bulgaristan’da bilinmeyen kimlikleri hedef aldığını değerlendirdi. Ayrıca Asya ve Avrupa’daki kuruluşlara da odaklandılar; A Tayvan’daki devlet kurumu hedefler arasındadır. Araştırmacılara göre bu kampanya halen devam ediyor.
Mustang Panda Hakkında
Bu siber casusluk grubu aynı zamanda “Bronz Başkan” ve “TA416” olarak da bilinir. Genellikle özelleştirilmiş Korplug çeşitlerine güvenirler veya PlugX ve karmaşık yükleme zincirleri. Ancak bu durumda grup, yalnızca tek aşamalı ve gizleme teknikleri içermeyen kötü amaçlı yazılım oluşturarak alışılmadık bir taktik kullandı.
Mustang Panda, dünya çapındaki kuruluşları hedef aldı ve özel RAT’ları PlugX’i kullanarak verileri çaldı. Ancak bu sefer Mustang Panda, algılamayı ve ilişkilendirmeyi zorlaştırmak için MQsTTang arka kapı kötü amaçlı yazılımını geliştirdi. Ayrıca grup, PUBLOAD, TONESHELL ve TONEINS gibi diğer özel araçları kullanmaya başladı.
Saldırı Nasıl Çalışır?
Kötü amaçlı yazılım, saldırganın güvenliği ihlal edilmiş cihazda uzaktan komutlar yürütmesine izin veren, temel bir arka kapı olarak nitelendirildi. MQTTang hedef odaklı kimlik avı e-postaları yoluyla dağıtılır ve yükler indirilir GitHub depoları aracılığıyla bu APT grubunun önceden keşfedilmiş kampanyalarıyla ilişkili bir kullanıcı tarafından oluşturuldu.
Yürütülebilir MQsTTang dosyası, RAR arşivlerinde sıkıştırılmıştır ve büyükelçiliğin ve diplomatik misyon personelinin pasaport taramaları gibi diplomatik bir temanın adını almıştır. Kötü amaçlı yazılım başlatıldığında, C2 iletişimini etkinleştirmek veya kalıcılığı sağlamak gibi görevleri gerçekleştirmek için bir komut satırı bağımsız değişkeniyle kendisinin bir kopyasını oluşturur.
MQsTTang ile ilgili olağandışı bir şey, C2 iletişimleri için MQTT protokolünü C2 yayından kaldırmalara karşı dayanıklılığı korumak, bilgisayar korsanlarının iletişimleri geçmek için bir komisyoncu dahil ederek kullandığı altyapıyı gizlemek ve tespitten kaçınmak için hata ayıklayıcıları/izleme araçlarını kontrol etmek vb. için kullanmasıdır.
ESET’in “Bu yeni MQsTTang arka kapısı, grubun diğer kötü amaçlı yazılım aileleriyle ilişkili çan ve ıslıkların hiçbiri olmadan bir tür uzak kabuk sağlıyor.” rapor Okumak.
Alakalı haberler
- Çinli Bilgisayar Korsanları Log4j Güvenlik Açığından Yararlanıyor
- Çinlilerin Hedefinde Windows, Linux ve macOS
- Çinli Hackerlar Group-IB Siber Güvenlik Firmasını Vurdu
- Windows Logosunda Kötü Amaçlı Yazılım Gizleyen Çinli Bilgisayar Korsanları
- Çinli Hackerlar Nim dilinde Kötü Amaçlı Yazılım Dağıtıyor