Yakın tarihli bir analizde, yeni tasarlanmış özel bir arka kapı olan MQsTTang, ESET araştırmacıları tarafından incelendi. Kapsamlı bir araştırmanın ardından, bu kötü amaçlı yazılımın kaynağı uzmanlar tarafından kötü şöhretli Mustang Panda APT grubuna atfedildi.
Ocak 2023’ün başlarına kadar uzanan bu devam eden kampanya, yeni keşfedilen arka kapıyla ilişkilendiriliyor. PlugX kötü amaçlı yazılımının özelleştirilmiş sürümleri, dünya çapında veri hırsızlığı saldırılarıyla tanınan kötü şöhretli Mustang Panda APT grubu (namı diğer TA416 ve Bronze President) için tercih edilen silahtır.
Bu grup, hedeflenen kuruluşlardan hassas bilgileri çalmak amacıyla gelişmiş bir kalıcı tehdit (APT) olarak çalışır.
Mustang Panda APT grubu tarafından tanıtılan en son kötü amaçlı yazılım MQsTTang, daha önceki herhangi bir kötü amaçlı yazılıma dayanmayan orijinal bir yaratım gibi görünüyor. Bu, bilgisayar korsanlarının onu algılamayı atlamak ve gruplarına atıfta bulunmayı kısıtlamak için tasarladığını gösteriyor.
Dağıtım
Öncelikli olarak Tayvan ve Ukrayna’ya odaklanan devam eden kampanya, Avrupa ve Asya’daki hükümet ve siyasi kuruluşları hedef alıyor. Bu bölgelerin, jeopolitik önemleri nedeniyle birçok kötü şöhretli bilgisayar korsanlığı grubunun radarında olduğunu belirtmek yerinde olacaktır.
Spear-phishing e-postaları, kötü amaçlı yazılımın dağıtımı için tercih edilen moddur ve yükler, Mustang Panda’nın geçmiş kampanyalarıyla bağlantılı bir kullanıcı tarafından oluşturulan GitHub depolarından indirilir.
Söz konusu kötü amaçlı yazılım, RAR arşivlerinde sıkıştırılmıştır ve sıkıştırıldıktan sonra yürütülebilir durumdadır ve dosya adlarının kendine özgü bir diplomasi teması vardır.
Saldırı zinciri
ESET Raporuna göre MQsTTang, tehdit aktörüne kurbanın bilgisayarında uzaktan komut yürütme yetenekleri sağlayan ve komutların çıktılarını almalarına izin veren “barebone” bir arka kapıdır.
Kötü amaçlı yazılım, yürütülürken kendini kopyalar ve birkaç işlemi başlatan bir komut satırı argümanı içerir. Kalıcılık, sistem başlangıcında kötü amaçlı yazılımı başlatmak için aşağıdaki yol altında yeni bir kayıt defteri anahtarı oluşturarak elde edilir: –
- HKCU\Yazılım\Microsoft\Windows\CurrentVersion\Run
Yeniden başlatmanın ardından yürütülen tek bir görev vardır, o da C2 iletişim görevidir. Yeni arka kapı, komuta ve kontrol sunucusu arasındaki iletişimi kolaylaştırmak için MQTT protokolünü kullanması bakımından atipik bir özelliğe sahiptir.
Kötü amaçlı yazılım, komuta ve kontrol (C2) alt etmelerine dayanma ve savunucular tarafından tespit edilmekten kaçınma konusunda doğuştan gelen bir yeteneğe sahiptir.
Bunun nedeni, aracı aracılığıyla iletişimi kolaylaştıran ve saldırganın altyapısını gizli tutan MQTT’nin kullanılmasıdır. Bu, savunucular tarafından sıklıkla incelenen ve yaygın olarak kullanılan diğer C2 protokollerine kıyasla onu daha az tespit edilebilir bir seçim haline getirir.
MQsTTang kötü amaçlı yazılımı, tespit edilmeden kalmak için, ana bilgisayar sisteminde hata ayıklama veya izleme araçlarının varlığını tespit eden bir mekanizma kullanır. Bu tür araçlar tanımlanırsa, kötü amaçlı yazılım, tespit edilmekten kaçınmak için davranışını uyarlar.
Trend Micro’daki analistler kısa süre önce Mart’tan Ekim 2022’ye kadar uzanan bir Mustang Panda operasyonunun başka bir örneğini tespit etti.
MQsTTang kötü amaçlı yazılımının, geliştirilmesinden sorumlu grubun uzun vadeli cephaneliğine dahil edilip edilmeyeceği veya yalnızca belirli bir operasyon için mi yaratıldığı şu anda belirsiz.
Uzlaşma Göstergeleri
Dosyalar
| SHA-1 | Dosya adı | Tespit etme | Tanım |
|---|---|---|---|
| A1C660D31518C8AFAA6973714DE30F3D576B68FC | Özgeçmiş Amb.rar | Win32/Agent.AFBI | MQsTTang arka kapısını dağıtmak için kullanılan RAR arşivi. |
| 430C2EF474C7710345B410F49DF853BDEAFBDD78 | Özgeçmiş Ambar Görevlisi PASSPORT Dışişleri Bakanlığı.exe | Win32/Agent.AFBI | MQsTTang arka kapısı. |
| F1A8BF83A410B99EF0E7FDF7BA02B543B9F0E66C | Belgeler.rar | Win32/Agent.AFBI | MQsTTang arka kapısını dağıtmak için kullanılan RAR arşivi. |
| 02D95E0C369B08248BFFAAC8607BBA119D83B95B | PDF_Pasaport ve JAPAN.eXE Tokyo’dan diplomatik üyelerin özgeçmişleri | Win32/Agent.AFBI | MQsTTang arka kapısı. |
| 0EA5D10399524C189A197A847B8108AA8070F1B1 | Almanya’dan gelen diplomatik heyet üyelerinin belgeleri.Exe | Win32/Agent.AFBI | MQsTTang arka kapısı. |
| 982CCAF1CB84F6E44E9296C7A1DDE2CE6A09D7BB | Belgeler.rar | Win32/Agent.AFBI | MQsTTang arka kapısını dağıtmak için kullanılan RAR arşivi. |
| 740C8492DDA786E2231A46BFC422A2720DB0279A | Japonya Büyükelçiliği’nden 23.exe | Win32/Agent.AFBI | MQsTTang arka kapısı. |
| AB01E099872A094DC779890171A11764DE8B4360 | BoomerangLib.dll | Win32/Korplug.TH | Bilinen Mustang Panda Korplug yükleyici. |
| 61A2D34625706F17221C1110D36A435438BC0665 | breakpad.dll | Win32/Korplug.UB | Bilinen Mustang Panda Korplug yükleyici. |
| 30277F3284BCEEF0ADC5E9D45B66897FA8828BFD | coreclr.dll | Win32/Ajan.ADMW | Bilinen Mustang Panda Korplug yükleyici. |
| BEE0B741142A9C392E05E0443AAE1FA41EF512D6 | HPCustPartUI.dll | Win32/Korplug.UB | Bilinen Mustang Panda Korplug yükleyici. |
| F6F3343F64536BF98DE7E287A7419352BF94EB93 | HPCustPartUI.dll | Win32/Korplug.UB | Bilinen Mustang Panda Korplug yükleyici. |
| F848C4F3B9D7F3FE1DB3847370F8EEFAA9BF60F1 | libcef.dll | Win32/Korplug.TX | Bilinen Mustang Panda Korplug yükleyici. |
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin