Son haftalarda siber güvenlik analistleri, Mustang Panda tehdit aktörünün, kötü amaçlı yükleri dağıtmak için yeni bir DLL yandan yükleme yaklaşımı uygulayan yeniden canlandığını gözlemledi.
Haziran 2025’te ortaya çıkan bu kampanya, Tibetli savunuculuk gruplarını hedef alan siyasi temalı tuzaklardan yararlanıyor.
Kurbanlar, adlı sahte yürütülebilir dosyayı içeren bir ZIP arşivi alırlar. Voiceless Photos.exe için Ses gizli bir dinamik bağlantı kütüphanesinin yanı sıra, libjyy.dllrastgele incelemelerden kaçınmak için sistem ve gizli özelliklerle işaretlenmiştir.
Yürütüldüğünde, yem bu gizli kütüphaneyi aracılığıyla yükler. LoadLibraryWmeşru yazılım kisvesi altında belirsiz kötü amaçlı yazılım rutinini tetikliyor.
Mustang Panda’nın saldırı zinciri, ZIP konteynerini taşıyan bir kimlik avı e-postasıyla başlıyor. Explorer açıldığında, “gizli” ve “sistem” işaretlerinin birleşimi nedeniyle kötü amaçlı DLL’yi gizler.
.webp)
Tuzak yürütülebilir dosyası daha sonra dinamik olarak yüklenir libjyy.dll çözerek ProcessMain giriş noktası ve onu çağırmak.
Bu aşamada, 0x0d4y Kötü Amaçlı Yazılım Araştırmacısı, bu yükleyicinin davranışını gizlemek için dinamik API çözünürlüğü ve dize şifre çözme rutinleri kullandığını ve statik algılamayı çok daha zorlu hale getirdiğini belirtti.
Kötü amaçlı DLL, başlatıldıktan sonra çekirdek yüklerinin şifresini çözer, birden fazla teknik (kayıt defteri çalıştırma anahtarları ve zamanlanmış görevler) yoluyla kalıcılığı ayarlar ve son olarak yürütülmek üzere kabuk kodunu çıkarır.
Kalıcılık mantığı öncelikle hem yemi hem de yükleyiciyi yeniden adlandırır. %SystemRoot%\Adobe\licensinghelper.exe ve adlı bir çalıştırma anahtarını kaydeder AdobeLicensingHelper altında HKCU\Software\Microsoft\Windows\CurrentVersion\Run.
.webp)
Daha sonra yükleyiciyi gereken şekilde yeniden başlatmak için her iki dakikada bir yürütülen zamanlanmış bir görev oluşturur. Lisanslama argüman.
Enfeksiyon Mekanizması
Mustang Panda’nın bulaşma mekanizması, “ClaimLoader” olarak adlandırılan DLL yandan yükleme T1574.006 tekniğine dayanıyor.
Yükleyicinin yürütülebilir dosyası minimum düzeyde içe aktarma referansı içerir, bunun yerine çalışma zamanında API adlarının şifresini dinamik olarak çözer.
Anahtarlı basit bir XOR rutini 0x19 çağırmadan önce şifrelenmiş dizelerin kodunu çözer LoadLibraryW Ve GetProcAddress.
Örneğin:-
mov edx,
mov ecx,
; XOR decryption loop
decrypt_loop:
mov al, [ecx]
xor al, 0x19
mov [ecx], al
inc ecx
dec edx
jnz decrypt_loop
; After decryption, load API dynamically
push
call decryptstrloadapi
call eax ; resolved API call Bu kod parçacığı, yükleyicinin statik içe aktarmalardan nasıl kaçındığını ve yürütmeye kadar gerçek niyetini nasıl gizlediğini gösterir.
Gerçek yük kitaplığı yüklendikten sonra, dört baytlık bir anahtar dizisi arasında geçiş yapan ikincil bir özel XOR algoritması kullanır [0x01, 0x02, 0x03, 0x04]—bellekteki bir Schtasks komut dizisinin şifresini çözmek için.
Kodu çözülen komut, yükleyicinin periyodik olarak çalışmasını programlar: –
schtasks /Create /TN AdobeExperienceManager /SC MINUTE /MO 2 /TR "C:\Windows\Adobe\licensinghelper.exe Licensing" /FBu adımların ardından yükleyici, yürütülebilir belleği aracılığıyla ayırır. VirtualAllockabuk kodunu kopyalar ve kötüye kullanır EnumFontsW yürütmek için geri çağırma mekanizması.
Kabuk kodu daha sonra ağ işlevlerini çözümlemek ve sistem verilerini bir komut ve kontrol sunucusuna sızdırmak için API karmasını gerçekleştirir.
Bu katmanlı teknikler sayesinde Mustang Panda, geleneksel uç nokta savunmalarını engellemek için iyi bilinen Windows API’lerini dinamik yükleme ve gizlemeyle harmanlayarak özellikle anlaşılması zor olmaya devam ediyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
