Son dönemdeki siber casusluk faaliyetleri, stratejik olarak Vietnam varlıklarını hedef alan Çin bağlantılı bilgisayar korsanlığı grubu Mustang Panda’nın oluşturduğu yaygın tehdidi ortaya çıkardı.
Cyble Araştırma ve İstihbarat Laboratuvarları (CRIL) tarafından yapılan analiz, Mustang Panda Gelişmiş Kalıcı Tehdit (APT) tarafından diğerlerinin yanı sıra hükümet organlarına, kar amacı gütmeyen kuruluşlara ve eğitim kurumlarına sızmak için kullanılan karmaşık taktikleri ortaya koyuyor.
Kökleri Çin’e dayanan Mustang Panda, endişe verici bir hassasiyetle çalışıyor ve potansiyel olarak devlete bağlı siber casusluk çabalarına işaret ediyor. Grubun erişim alanı Vietnam’ın ötesine uzanıyor; ABD, Avrupa ve Moğolistan, Myanmar, Pakistan ve daha fazlası dahil olmak üzere çeşitli Asya bölgelerindeki kuruluşları hedefliyor.
Araştırmacılar Mustang Panda Kampanyasını Çözüyor
CRIL’in Vietnam’daki son saldırılara ilişkin incelemesi, Mustang Panda’nın vergi uyumu ve eğitim sektörü odaklı tuzaklar kullandığı bir aldatmaca modelini ortaya çıkarıyor. Kampanyalar, uzaktan barındırılan kötü amaçlı dosyaları yürütmek için forfiles.exe gibi meşru araçlardan yararlanan çok katmanlı bir yaklaşım sergiliyor. Ayrıca grup, operasyonlarını ilerletmek için PowerShell, VBScript ve toplu dosyalardan yararlanıyor ve bu da siber güvenlikten kaçınma taktikleri konusunda incelikli bir anlayış sergiliyor.
Mustang Panda’nın çalışma yönteminin dikkate değer bir yönü, tespit önlemlerini engellemeyi amaçlayan kısmi yem belgelerinin kötü amaçlı LNK dosyalarına ustaca yerleştirilmesidir. Yemin unsurlarını doğrudan dosyalara karıştırarak, bilgisayar korsanları geleneksel güvenlik protokollerinden kaçarken yüklerinin boyutunu artırıyor.
Mustang Panda’nın saldırılarının karmaşıklığı, kurban sistemlerde kötü amaçlı kod yürütmek için DLL yan yükleme tekniklerinin kullanılmasıyla örneklendiriliyor. Grup, meşru yürütülebilir dosyalardaki güvenlik açıklarından yararlanarak kalıcılık sağlıyor ve daha fazla sızma için yollar açıyor.
Son bulgular aynı zamanda Mustang Panda’nın en az 2014’ten bu yana hükümet hedeflerinden STK’lara kadar uzanan belgelenmiş katılımlarıyla devam eden faaliyetlerine de ışık tutuyor. Özellikle, Nisan 2017’de ABD merkezli bir düşünce kuruluşunu hedef alan bir kampanya, grubun geniş erişimini ve operasyonel ömrünü gösteren farklı taktikleri ortaya çıkardı.
Mustang Panda Vietnamlı Kuruluşları Hedef Alıyor
Mayıs 2024’te gözlemlenen en son kampanyada Mustang Panda, Nisan 2024’te eğitim sektörünü hedef alan benzer bir yaklaşımı izleyerek gözünü vergi uyumluluğuna yönelik yemlerle Vietnamlı kuruluşlara dikti. Her iki kampanya da, kötü amaçlı ekler içeren spam e-postalarla başlatıldı ve bu, grubun başarı oranlarını en üst düzeye çıkarmak için güncel temalardan yararlanma konusundaki uyarlanabilirliğini ortaya koydu.
Mayıs 2024 kampanyasının teknik analizi, grubun, kötü amaçlı dosyalarda gerçek doğasını maskelemek için çift uzantı kullanmak da dahil olmak üzere karmaşık manevralarını ortaya çıkarıyor. Bu kampanyanın PDF belgesi olarak gizlenen yükü, uzak sunuculardan daha fazla kötü amaçlı komut dosyası indirmeyi ve çalıştırmayı amaçlayan bir dizi PowerShell komutunu gizliyor.
DLL yan yüklemesi, Mustang Panda’nın kötü amaçlı faaliyetlerini gizlemek için meşru yürütülebilir dosyalardan yararlanmasıyla tekrarlayan bir tema olarak ortaya çıkıyor. Bilgisayar korsanları, rutin sistem süreçleri içindeki eylemlerini kamufle ederek, güvenliği ihlal edilmiş sistemlere erişimi korurken tespit edilme riskini en aza indirir.
Mustang Panda kampanyaları, giderek daha karmaşık hale gelen metodolojilerle karakterize edilen, büyüyen siber suçlu tehdidine dikkat çekiyor. Grup, ortak yazılımlardaki güvenlik açıklarından yararlanarak ve sosyal mühendislik tekniklerinden yararlanarak, hedeflenen ağlara sızma ve bu ağlarda varlığını sürdürme konusunda müthiş bir kapasite sergiliyor.