Çinli Hackerlar Grubu Mustang Panda Bypass EDR Tespit Yeni Hacking Araçları


Çin destekli hack grubu Mustang Panda, Zscaler tehdidi tarafından, son nokta tespiti ve yanıt (EDR) sistemlerinden kaçınmak için güncellenmiş arka kapı toneshell ve StarProxy adlı yeni bir araç da dahil olmak üzere yeni teknikler ve araçlar kullanmaya yönlendirildi.

Mustang Panda’nın yeni teknikleri

Öncelikle Doğu Asya’da hükümet ve askeri varlıkları hedeflediği için bilinen Mustang Panda, Myanmar’daki bir organizasyondaki iki makineden saldırı yürüttüğü bulundu.

Grubun araçları, bölgedeki kalıcı etkinliklerini sergileyen bir sahneleme sunucusunda barındırılıyor.

– Reklamcılık –
Google HaberleriGoogle Haberleri

Son kampanya, şimdi komuta ve kontrol (C2) iletişim protokolünde değişiklikleri içeren arka kapı Toneshell’in yeni varyantlarını dağıtmaya odaklanıyor.

Özellikle, Toneshell, güvenli internet trafiğinin TLS el sıkışmasını taklit etmeyi amaçlayan ve böylece kötü niyetli trafiği tespit etmek için meşru iletişimlerle harmanlayan değiştirilmiş bir Faketls protokolü kullanır.

Tehditlabz ​​tarafından daha fazla inceleme, tehlikeye atılan ağlarda yanal hareketi kolaylaştıran Starproxy olarak adlandırılan bir aracı ortaya çıkarmıştır.

Mustang PandaMustang Panda
Starproxy aktivitesinin üst düzey diyagramı.

Bu araç, cihazlar ve C2 sunucuları arasındaki trafiği şifrelemek için Faketls protokolünden yararlanarak iletişim için IP adresini ve bağlantı noktasını belirlemek için komut satırı bağımsız değişkenlerini kullanır.

Meşru ve imzalı bir ikili, isoburner.exe ve yürütme üzerine çağrılan kötü niyetli bir DLL, Starburn.dll ile Starproxy demetleri.

Şifreleme ve şifre çözme için sert kodlanmış anahtarlar kullanan özel bir XOR tabanlı algoritma ile tüm mesajları şifreleyerek C2’den komut almak için sürekli bir işaretleme sağlar.

Kilit çıkarımlar

  • Toneshell varyantları: Toneshell’in yeni yinelemeleri, istemci tanımlayıcıları oluşturmak ve ağ trafiği şifrelemesi için çeşitli boyutlarda haddeleme xor anahtarlarını kullanmak için farklı yöntemlere sahiptir.
  • DLL Sideloading: Tüm kötü amaçlı yükler, meşru, imzalı ikili dosyaların yanında RAR arşivlerinde paketlenir ve yürütme için DLL yan yükleme kullanır.

Mustang Panda’nın taktikler, teknikler ve prosedürlerdeki (TTP’ler) evrimi, EDR gibi güvenlik önlemlerinden kaçan güvenlik önlemlerinde uyarlanabilirlik ve sofistike olduklarını göstermektedir.

Bu gelişme, özellikle hedef açısından zengin ortamlarda, tespit yeteneklerini geliştirmek ve gelişen siber tehditlerle güncel kalmak için kuruluşlara olan ihtiyacı vurgulamaktadır.

Mustang Panda araçlarını ve kaçınma stratejilerini geliştirmeye devam ederken, siber güvenlik uzmanları bu tür ileri süren tehditlerle (APT’ler) mücadele etmek için savunma mekanizmalarında uyanık ve proaktif kalmalıdır.

Uzlaşma Göstergeleri (IOCS)

İşte Mustang Panda’nın son faaliyetleriyle ilişkili temel IOC’ler:

MD5 karmaDosya adıTanım
233214D22659AA85F32BB705812A0B22cf.rarSaldırganın sunucusunda barındırılan rar arşivi
B695a31ea90e61cc08da1837d836655alibcef.dllToneshell DLL
4Fefc66a0f7e1b2ed8affc9c3ba66c7mrender.exeMeşru imzalı ikili
91d8b31259d8602539fb6aaa058d6521bf012999cd8ed830abfe2ace7aea54dclient.rarSunucuda barındırılan rar arşivi
C1d24a5cb1d57a91cf4a717425bd0d46b4436d14d7f4744fa8dbb22609f57a8Isoburner.exeMeşru ve imzalı ikili
63AA0C452E4DC0AA2324CE891DA1ACFA90CE85476D2DD7AB85F448F913AF5EStarburn.dllKötü niyetli DLL – StarProxy

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!



Source link