Çinli casusluk tehdit grubu Mustang Panda, CoolClient arka kapısını, tarayıcılardan oturum açma verilerini çalabilen ve panoyu izleyebilen yeni bir değişkenle güncelledi.
Kaspersky araştırmacılarına göre kötü amaçlı yazılım, daha önce görülmemiş bir rootkit’i dağıtmak için de kullanıldı. Ancak ileride yayınlanacak bir raporda teknik analiz sunulacaktır.
CoolClient, 2022’den beri Mustang Panda ile ilişkilendiriliyor ve PlugX ve LuminousMoth’un yanı sıra ikincil bir arka kapı olarak kullanılıyor.
Güncellenen kötü amaçlı yazılım sürümü, Myanmar, Moğolistan, Malezya, Rusya ve Pakistan’daki devlet kurumlarını hedef alan saldırılarda gözlemlendi ve siber güvenlik, bulut bilişim ve BT altyapı ürünleri konusunda uzmanlaşmış Çinli bir şirket olan Sangfor’un meşru yazılımı aracılığıyla kullanıldı.
Daha önce CoolClient operatörleri, kötü amaçlı yazılımı Bitdefender, VLC Media Player ve Ulead PhotoImpact’tan imzalı ikili dosyaları kötüye kullanarak DLL tarafından yükleme yoluyla başlatıyordu.
Kaspersky araştırmacıları, CoolClient arka kapısının ele geçirilen sistem ve kullanıcıları hakkında bilgisayar adı, işletim sistemi sürümü, RAM, ağ bilgileri ve yüklü sürücü modüllerinin açıklamaları ve sürümleri gibi ayrıntıları topladığını söylüyor.
CoolClient şifrelenmiş .DAT dosyalarını çok aşamalı bir yürütmede kullanır ve Kayıt Defteri değişiklikleri, yeni Windows hizmetlerinin eklenmesi ve zamanlanmış görevler aracılığıyla kalıcılık sağlar. Ayrıca UAC atlama ve ayrıcalık yükseltmeyi de destekler.
Kaynak: Kaspersky
CoolClient’in temel özellikleri, adlı bir dosyaya katıştırılmış bir DLL dosyasına entegre edilmiştir. ana.dat. Araştırmacılar, “Başlatıldığında ilk olarak keylogger’ın, pano hırsızının ve HTTP proxy kimlik bilgisi dinleyicisinin etkin olup olmadığını kontrol ediyor” diyor.
Yeni CoolClient yetenekleri
Kötü amaçlı yazılımın sistem ve kullanıcı profili oluşturma, dosya işlemleri, keylogging, TCP tünel oluşturma, ters proxy oluşturma ve dinamik olarak getirilen eklentilerin bellek içi yürütülmesi dahil olmak üzere temel işlevleri hem eski hem de yeni sürümlerde mevcuttur, ancak en yeni sürümlerde iyileştirilmiştir.
En son CoolClient’teki tamamen yeni olan şey, bir pano izleme modülü, aktif pencere başlığı takibi gerçekleştirme yeteneği ve ham paket incelemesine ve başlıkların çıkarılmasına dayanan HTTP proxy kimlik bilgisi koklamadır.
Ek olarak eklenti ekosistemi, özel bir uzak kabuk eklentisi, bir hizmet yönetimi eklentisi ve daha yetenekli bir dosya yönetimi eklentisiyle genişletildi.
Hizmet yönetimi eklentisi, operatörlerin Windows hizmetlerinin başlangıç yapılandırmasını numaralandırmasına, oluşturmasına, başlatmasına, durdurmasına, silmesine ve değiştirmesine olanak tanırken, dosya yönetimi eklentisi sürücü numaralandırma, dosya arama, ZIP sıkıştırması, ağ sürücüsü eşlemesi ve dosya yürütme dahil olmak üzere genişletilmiş dosya işlemleri sağlar.
Uzak kabuk işlevi, gizli bir cmd.exe işlemi oluşturan ve standart giriş ve çıkışını borular aracılığıyla yeniden yönlendiren, komut ve kontrol (C2) kanalı üzerinden etkileşimli komut yürütülmesine olanak tanıyan ayrı bir eklenti aracılığıyla uygulanır.
CoolClient’in operasyonundaki bir yenilik, tarayıcılardan oturum açma verilerini toplamak için bilgi hırsızlarının konuşlandırılmasıdır. Kaspersky, Chrome’u (varyant A), Edge’i (varyant B) ve herhangi bir Chromium tabanlı tarayıcıyı hedefleyen daha çok yönlü bir C varyantını hedefleyen üç farklı aileyi belgeledi.
Kaynak: Kaspersky
Dikkate değer bir diğer operasyonel değişiklik, tarayıcı veri hırsızlığı ve belge sızdırma işlemlerinin artık tespitten kaçınmak için Google Drive veya Pixeldrain gibi meşru kamu hizmetleri için sabit kodlanmış API belirteçlerinden yararlanmasıdır.
Mustang Panda araç setini ve operasyonel özelliklerini geliştirmeye devam ediyor. Geçtiğimiz ay Kaspersky, ToneShell arka kapısının bir çeşidini hükümet sistemlerine dağıtan yeni bir çekirdek modu yükleyicisinden bahsetmişti.
Bu ayın başlarında Tayvan Ulusal Güvenlik Bürosu, Mustang Panda’yı kritik altyapısını hedef alan en üretken ve yüksek hacimli tehditler arasında sıraladı.
Bütçe mevsimi! 300’den fazla CISO ve güvenlik lideri, önümüzdeki yıl için nasıl planlama, harcama ve önceliklendirme yaptıklarını paylaştı. Bu rapor onların içgörülerini derleyerek okuyucuların stratejileri karşılaştırmasına, ortaya çıkan trendleri belirlemesine ve 2026’ya girerken önceliklerini karşılaştırmasına olanak tanıyor.
Üst düzey liderlerin yatırımı nasıl ölçülebilir etkiye dönüştürdüğünü öğrenin.