Çin’in en üretken ve tanınmış devlet destekli tehdit aktörleri USB sürücüler (ve diğer araçlar) aracılığıyla yayılan, kendi kendini yayan yeni bir kötü amaçlı yazılımla sahneye geri döndü; böylece sistem kontrolü ve veri sızdırma gibi siber casusluk hedeflerini genişletiyor.
Trend Micro araştırmacılarına göre Mustang Panda, yakın zamanda Asya-Pasifik (APAC) bölgesindeki çeşitli hükümet birimlerini hedef alarak kötü amaçlı yazılımlar dağıtan çok aşamalı indiricileri yaymak için hedefli kimlik avı da kullanıyor. açıklığa kavuşmuş 9 Eylül tarihli bir blog yazısında.
Kötü amaçlı yazılım yüklü USB sürücüleri kullanmak, deneyimli bir stratejidir. bir canlanma COVID-19 salgını sırasında ve sonrasında Mustang Panda (diğer adıyla Camaro EjderhasıBronz Başkan, Aydınlık Güve, Kırmızı Delta, Görkemli Boğa ve Trend Micro için Earth Preta) bunu kullanmasıyla bilinir birincil enfeksiyon vektörü olarakGelişmiş kalıcı tehdit (APT) esas olarak siber casusluk işindedir ve bilinmektedir diğer Çinli aktörlerle işbirliği yapmak koordineli saldırılarda. Aslında, Trend Micro yakın zamanda bir taze aktivite dalgası Genel olarak Çinli tehdit aktörlerinden kaynaklanan, bunların birbirleriyle ilişkili olabileceği veya olmayabileceği.
Mustang Panda’nın Hızlı Saldırıları, Özel Kötü Amaçlı Yazılım
Bu sefer Mustang Panda, PUBLOAD adlı kötü amaçlı yazılımı HIUPAN solucanının kendi kendine yayılan bir çeşidi aracılığıyla ve sistemleri kontrol etmek ve verileri dışarı sızdırmak için FDMTP ve PTSOCKET gibi diğer araçlarla birlikte teslim etmek için vektörü kullanıyor. Tehdit aktörü tarafından eş zamanlı olarak yürütülen bir hedefli kimlik avı kampanyası da aynı kurban demografisini hedef alıyor ve arka kapıları ve diğer kötü amaçlı yazılımları dağıtmak için kötü amaçlı ekler kullanıyor.
Kampanyalardaki belirli hedefler arasında çeşitli hükümet kuruluşlarındaki kişiler yer alıyor: ordu, polis departmanları, dışişleri ve refah ajansları, yürütme organları ve kamu eğitimi. Trend Micro’ya göre, kurbanlar genellikle sistemlerine sızan ve ne olduğunu anlamadan önce verileri çalan hızlı tempolu bir yaklaşımla karşı karşıya kalıyor.
Trend Micro araştırmacıları Lenart Bermejo, Sunny Lu ve Ted Lee, gönderide “Earth Preta’nın saldırıları oldukça hedefli ve zamana duyarlıdır, sıklıkla hızlı dağıtım ve veri sızdırmayı içerir ve APAC bölgesindeki belirli ülkelere ve sektörlere odaklanır” ifadelerini kullandı.
Önceki APT Taktiklerinin Evrimi
Trend Micro tarafından gözlemlenen yeni kampanyalar, grubun tipik taktiklerinde evrim gösteren ilk giriş için iki farklı vektöre sahiptir. Birincisi, bir sonraki aşama yükünü bir komuta ve kontrol (C2) sunucusundan indirebilen bir aşamalandırıcı görevi gören PUBLOAD’u yaymak için USB sürücüler aracılığıyla HIUPAN solucanının dağıtılmasıdır.
Önceki kampanyalarda Mustang Panda, PUBLOAD’u iletmek için mızraklı kimlik avı e-postaları kullanmıştı ve bu da kendi kendini yayan bir solucanın kullanımını grup için yeni bir taktik haline getirmişti. USB kampanyasının nihai hedefi, kalıcı veri sızdırma için hedeflenen bir ortamda kontrol sağlamak amacıyla son aşama kötü amaçlı yazılım göndermektir.
Araştırmacılar gönderide, “Bu HIUPAN varyantı, saldırı zincirindeki temel faydası aynı kalsa da, ACNSHELL’i yaymak için kullanılan daha önce belgelenen varyantla farklılıklar içeriyor” ifadelerini kullandı.
Yeni kampanyalarda kullanılan PUBLOAD sürümü daha önce sunulan sürümlere benzer mızraklı kimlik avı yoluyla Ve belgelenmiş Trend Micro tarafından. Bu durumda Mustang Panda, hedeflerin ortamına ikincil bir kontrol aracı olarak hizmet eden FDMTP ve alternatif bir sızdırma seçeneği olarak kullanılan PTSOCKET gibi tamamlayıcı araçları tanıtmak için PUBLOAD’u kullanıyor.
Mızraklı Kimlik Avı Çok Aşamalı Saldırı Sağlıyor
Araştırmacılar ayrıca, haziran ayında araştırmacıların gözlemlediği “hızlı tempolu” bir kimlik avı kampanyasının, dosya indirme ve uzaktan kabuk çalıştırmayı destekleyen CBROVER adlı bir arka kapıyı açan bir dizi kötü amaçlı yazılım dağıttığını söyledi.
Yol boyunca, kötü amaçlı .url ekleri, bir aldatmaca belge ve kabuk kodu bileşeni indirmek için birinci aşama indirici olan DOWNBAIT ve CBROVER’ı indiren ve yürüten basit kabuk kodu olan PULLBAIT dahil olmak üzere diğer kötü amaçlı yazılımları indirir ve yürütür. Trend Micro ayrıca Mustang Panda’nın veri sızdırma için Microsoft’un bulut hizmetlerini kullandığına dair kanıtlar buldu.
Mızraklı kimlik avı kampanyası, kurbanları saldırı zincirini sürdürmeye çekmek için dış ilişkilerle ilgili sahte belgeler kullanıyor. Araştırmacılar, saldırılarda hedef alınması muhtemel ülkeler arasında Myanmar, Filipinler, Vietnam, Singapur, Kamboçya ve Tayvan’ın yer aldığını söyledi.
“16’da barındırılan WebDAV sunucusunda sahte belgelerin ve kötü amaçlı yazılım örneklerinin hızlı bir şekilde teslim edilmesi[.]162[.]188[.]93, Earth Preta’nın APAC bölgesindeki belirli ülkelere ve endüstrilere odaklanarak son derece hedefli ve zamana duyarlı operasyonlar yürüttüğünü öne sürüyor” diye yazdı.
Araştırmacılar, gönderide saldırılar için bir uzlaşma göstergeleri (IoC) listesi eklediler ve Mustang Panda ve yandaşlarının giderek daha karmaşık taktikleri karşısında “sürekli uyanıklık” ve “güncellenmiş savunma önlemleri” önerdiler. “Earth Preta, APAC’de oldukça aktif olmaya devam etti” diye yazdılar, “ve öngörülebilir gelecekte de aktif olmaya devam edecek.”