Çin destekli hack grubu Mustang Panda, Zscaler tehdidi tarafından, son nokta tespiti ve yanıt (EDR) sistemlerinden kaçınmak için güncellenmiş arka kapı toneshell ve StarProxy adlı yeni bir araç da dahil olmak üzere yeni teknikler ve araçlar kullanmaya yönlendirildi.
Mustang Panda’nın yeni teknikleri
Öncelikle Doğu Asya’da hükümet ve askeri varlıkları hedeflediği için bilinen Mustang Panda, Myanmar’daki bir organizasyondaki iki makineden saldırı yürüttüğü bulundu.
Grubun araçları, bölgedeki kalıcı etkinliklerini sergileyen bir sahneleme sunucusunda barındırılıyor.
.png
)
Son kampanya, şimdi komuta ve kontrol (C2) iletişim protokolünde değişiklikleri içeren arka kapı Toneshell’in yeni varyantlarını dağıtmaya odaklanıyor.
Özellikle, Toneshell, güvenli internet trafiğinin TLS el sıkışmasını taklit etmeyi amaçlayan ve böylece kötü niyetli trafiği tespit etmek için meşru iletişimlerle harmanlayan değiştirilmiş bir Faketls protokolü kullanır.
Tehditlabz tarafından daha fazla inceleme, tehlikeye atılan ağlarda yanal hareketi kolaylaştıran Starproxy olarak adlandırılan bir aracı ortaya çıkarmıştır.
Bu araç, cihazlar ve C2 sunucuları arasındaki trafiği şifrelemek için Faketls protokolünden yararlanarak iletişim için IP adresini ve bağlantı noktasını belirlemek için komut satırı bağımsız değişkenlerini kullanır.
Meşru ve imzalı bir ikili, isoburner.exe ve yürütme üzerine çağrılan kötü niyetli bir DLL, Starburn.dll ile Starproxy demetleri.
Şifreleme ve şifre çözme için sert kodlanmış anahtarlar kullanan özel bir XOR tabanlı algoritma ile tüm mesajları şifreleyerek C2’den komut almak için sürekli bir işaretleme sağlar.
Kilit çıkarımlar
- Toneshell varyantları: Toneshell’in yeni yinelemeleri, istemci tanımlayıcıları oluşturmak ve ağ trafiği şifrelemesi için çeşitli boyutlarda haddeleme xor anahtarlarını kullanmak için farklı yöntemlere sahiptir.
- DLL Sideloading: Tüm kötü amaçlı yükler, meşru, imzalı ikili dosyaların yanında RAR arşivlerinde paketlenir ve yürütme için DLL yan yükleme kullanır.
Mustang Panda’nın taktikler, teknikler ve prosedürlerdeki (TTP’ler) evrimi, EDR gibi güvenlik önlemlerinden kaçan güvenlik önlemlerinde uyarlanabilirlik ve sofistike olduklarını göstermektedir.
Bu gelişme, özellikle hedef açısından zengin ortamlarda, tespit yeteneklerini geliştirmek ve gelişen siber tehditlerle güncel kalmak için kuruluşlara olan ihtiyacı vurgulamaktadır.
Mustang Panda araçlarını ve kaçınma stratejilerini geliştirmeye devam ederken, siber güvenlik uzmanları bu tür ileri süren tehditlerle (APT’ler) mücadele etmek için savunma mekanizmalarında uyanık ve proaktif kalmalıdır.
Uzlaşma Göstergeleri (IOCS)
İşte Mustang Panda’nın son faaliyetleriyle ilişkili temel IOC’ler:
| MD5 karma | Dosya adı | Tanım |
|---|---|---|
| 233214D22659AA85F32BB705812A0B22 | cf.rar | Saldırganın sunucusunda barındırılan rar arşivi |
| B695a31ea90e61cc08da1837d836655a | libcef.dll | Toneshell DLL |
| 4Fefc66a0f7e1b2ed8affc9c3ba66c7 | mrender.exe | Meşru imzalı ikili |
| 91d8b31259d8602539fb6aaa058d6521bf012999cd8ed830abfe2ace7aea54d | client.rar | Sunucuda barındırılan rar arşivi |
| C1d24a5cb1d57a91cf4a717425bd0d46b4436d14d7f4744fa8dbb22609f57a8 | Isoburner.exe | Meşru ve imzalı ikili |
| 63AA0C452E4DC0AA2324CE891DA1ACFA90CE85476D2DD7AB85F448F913AF5E | Starburn.dll | Kötü niyetli DLL – StarProxy |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!