Çin bağlantılı Mustang Panda aktörü, iki ülke arasında tartışmalı Güney Çin Denizi nedeniyle artan gerilimin ortasında Filipinler hükümet kuruluşunu hedef alan bir siber saldırıyla ilişkilendirildi.
Palo Alto Networks Birim 42, muhalif kolektifi Ağustos 2023’teki üç kampanyaya bağladı ve öncelikle Güney Pasifik’teki kuruluşları öne çıkardı.
Şirket, “Kampanyalarda, kötü amaçlı dosyaları dışarıdan yüklemek için Solid PDF Creator ve SmadavProtect (Endonezya merkezli bir antivirüs çözümü) dahil meşru yazılımlardan yararlanıldı” dedi.
“Tehdit yazarları ayrıca kötü amaçlı yazılımı, komuta ve kontrol (C2) bağlantıları için meşru Microsoft trafiğini taklit edecek şekilde yaratıcı bir şekilde yapılandırdı.”
Bronze President, Camaro Dragon, Earth Preta, RedDelta ve Stately Taurus isimleri altında da takip edilen Mustang Panda’nın, en az 2012’den beri aktif olan ve sivil toplum kuruluşlarını hedef alan siber casusluk kampanyalarını düzenleyen bir Çin gelişmiş kalıcı tehdidi (APT) olduğu değerlendiriliyor. (STK’lar) ve Kuzey Amerika, Avrupa ve Asya’daki hükümet organları.
Eylül 2023’ün sonlarında Birim 42, tehdit aktörünün TONESHELL adı verilen bir arka kapı çeşidini dağıtmak üzere isimsiz bir Güneydoğu Asya hükümetine yönelik saldırılara karıştığını da tespit etti.
En son kampanyalar, DLL yandan yükleme adı verilen bir teknik kullanılarak başlatılan sahte bir dinamik bağlantı kitaplığı (DLL) içeren kötü amaçlı bir ZIP arşiv dosyası sunmak için hedef odaklı kimlik avı e-postalarından yararlanıyor. DLL daha sonra uzak bir sunucuyla bağlantı kurar.
Filipinler hükümet kuruluşunun büyük olasılıkla 10-15 Ağustos 2023 arasındaki beş günlük süre içinde tehlikeye girdiği değerlendiriliyor.
SmadavProtect’in kullanımı, son aylarda Mustang Panda tarafından benimsenen ve güvenlik çözümünü atlatmak için açıkça tasarlanmış kötü amaçlı yazılımları kullanan bilinen bir taktiktir.
Araştırmacılar, “Görkemli Taurus, Çin’in en aktif APT’lerinden biri olarak kalıcı siber casusluk operasyonları yürütme yeteneğini göstermeye devam ediyor” dedi.
“Bu operasyonlar, küresel olarak Çin hükümetini ilgilendiren jeopolitik konularla uyumlu çeşitli kuruluşları hedef alıyor.”
Açıklama, Higaisa adlı Güney Koreli bir APT aktörünün, OpenVPN gibi iyi bilinen yazılım uygulamalarını taklit eden kimlik avı web siteleri aracılığıyla Çinli kullanıcıları hedef aldığının ortaya çıkmasıyla geldi.
Cyble geçen ayın sonlarında şunları söyledi: “Yükleyici çalıştırıldıktan sonra Rust tabanlı kötü amaçlı yazılımı sisteme bırakıyor ve çalıştırıyor, ardından bir kabuk kodunu tetikliyor.” “Kabuk kodu, hata ayıklamayı önleme ve şifre çözme işlemlerini gerçekleştirir. Daha sonra, uzak bir Tehdit Aktörü (TA) ile şifreli komut ve kontrol (C&C) iletişimi kurar.”