Mustang Panda olarak bilinen Çin bağlantılı tehdit aktörü, Myanmar’da daha önce bildirilmemiş takımlarla belirtilmemiş bir organizasyonu hedefleyen bir siber saldırıya atfedildi ve tehdit aktörlerinin kötü amaçlı yazılımlarının karmaşıklığını ve etkinliğini artırma çabalarını vurguladı.
Bu, bilinen bir arka kapının güncellenmiş sürümlerini içerir Tonlamakayrıca StarProxy olarak adlandırılan yeni bir yanal hareket aracı, Paklog, CorkLog ve bir uç nokta algılama ve yanıt (EDR) kaçakçılığı sürücüsü olarak adlandırılan iki keylogger Splatcloak.
Zscaler tehdidi araştırmacısı Sudep Singh, iki parçalı bir analizde, “Mustang Panda tarafından kullanılan bir arka kapı olan Toneshell, Faketls komut ve kontrol (C2) iletişim protokolünde ve müşteri tanımlayıcıları oluşturma ve depolama yöntemlerinde değişikliklerle güncellendi.” Dedi.
Havza, bronz başkan, Camaro Dragon, Earth Preta, Honeymyte ve Reddelta olarak da bilinen Mustang Panda, en az 2012’den beri Çin’e uyumlu devlet destekli bir tehdit aktörüdür.
Öncelikle Doğu Asya’da bulunan ülkelerde hükümetler, askeri kuruluşlar, azınlık grupları ve sivil toplum kuruluşlarına (STK’lar) (STK’lar) saldırıları ile tanınan grup, Plugx kötü amaçlı yazılımları teslim etmek için DLL yan yükleme tekniklerinden yararlanma geçmişine sahiptir.
Bununla birlikte, 2022’nin sonlarından bu yana, Mustang Panda tarafından düzenlenen kampanyalar, sonraki aşamalı yükleri indirmek için tasarlanmış Toneshell adlı ısmarlama bir kötü amaçlı yazılım ailesi sunmaya başladı.
Zscaler, değişken seviyelerde sofistike ile gelen üç yeni kötü amaçlı yazılım varyantını keşfettiğini söyledi –
- Varyant 1basit bir ters kabuk görevi gören
- Varyant 2C2’den DLL’leri indirme işlevselliği içerir ve DLL’yi meşru süreçlere enjekte ederek (örneğin, svchost.exe) yürütmek
- Varyant 3özel bir TCP tabanlı protokol aracılığıyla uzak bir sunucudan alınan komutları yürütmek için dosyaları indirme ve bir alt süreç oluşturmak için işlevselliği içerir.
Mustang Panda ile ilişkili yeni bir yazılım parçası, DLL yan yükleme yoluyla başlatılan ve proxy trafiğini ve saldırgan iletişimini kolaylaştırmak için Faketls protokolünden yararlanmak üzere tasarlanmış StarProxy’dir.
“StarProxy, saldırganların enfekte cihazlar ve C2 sunucuları arasındaki proxy trafiğine izin vermesine izin verir. StarProxy, Faketls protokolü aracılığıyla C2 sunucusu ile iletişim kurmak için TCP soketlerini kullanarak, tüm değiştirilen verileri özel XOR tabanlı şifreleme algoritması ile şifreleyerek gerçekleştirir.” Dedi.
“Ek olarak, araç, iletişim için IP adresini ve bağlantı noktasını belirtmek için komut satırı bağımsız değişkenlerini kullanır ve saldırganların tehlikeye atılan makineler aracılığıyla verileri aktarmasını sağlar.”
 |
| Starproxy aktivitesi |
StarProxy’nin, doğrudan internete maruz kalmayan bir ağ içindeki dahili iş istasyonlarına erişmek için bir kontrat sonrası araç olarak dağıtıldığına inanılmaktadır.
Ayrıca, tuş vuruşlarını ve pano verilerini izlemek için kullanılan iki yeni keylogger olan Paklog ve Corklog da tanımlanmıştır. İkisi arasındaki birincil fark, ikincisinin yakalanan verileri 48 karakterli bir RC4 anahtarı kullanarak şifreli bir dosyada saklaması ve hizmet veya planlanmış görevler oluşturarak kalıcılık mekanizmalarını uygulamasıdır.
Her iki anahtarloger da, kendi başına veri açığa vurma özelliklerinden yoksundur, yani sadece tuş vuruşu verilerini toplamak ve bunları belirli bir yere yazmak ve tehdit oyuncusu altyapılarına iletmek için diğer yöntemleri kullanırlar.
Mustang Panda’nın kötü amaçlı yazılım cephaneliğine yapılan yeni eklemeleri, Windows Defender ve Kaspersky tarafından uygulanan EDR ile ilgili rutinleri devre dışı bırakmak için donatılmış bir Windows çekirdeği sürücüsü olan Splatcloak’dır, böylece radarın altında uçmasına izin verir.
Singh, “Mustang Panda, hedeflerine ulaşmak için hesaplanmış bir yaklaşım gösteriyor.” Dedi. “Sürekli güncellemeler, yeni takımlar ve katmanlı gizleme, grubun operasyonel güvenliğini uzatır ve saldırıların etkinliğini artırır.”
UNC5221, pencereleri hedefleyen Brickstorm’un yeni sürümlerini bıraktı
Belçika siber güvenlik firması Nviso’ya göre, açıklama, UNC5221 adlı Çin-nexus siber casusluk kümesinin, en az 2022’den beri Avrupa’daki Windows ortamlarına yönelik saldırılarda tuğla fırtınası kötü amaçlı yazılımların yeni bir versiyonunun kullanılmasına bağlı olduğu ile geliyor.
Geçen yıl, Ivanti Connect Güvenli sıfır gün güvenlik açıklarının (CVE-2024-21887) Miter Corporation’a karşı sıfır gün sömürülmesi ile bağlantılı olarak belgelenen Brickstorm, VMware vCenter’ı çalıştıran Linux Server’larda Golang Backdoor konuşlandırılmıştır.
Brickstorm, WebSockets üzerinden sert kodlanmış bir C2 ile iletişim kurar.
GO’da yazılmış yeni tanımlanan Windows eserleri, saldırganlara bir panel aracılığıyla dosya yöneticisi ve ağ tünelleme özelliklerini sağlayarak, dosya sistemine göz atmalarını, dosyaları oluşturmalarını veya silmelerini ve yanal hareket için ağ bağlantılarını tünel bağlamalarını sağlar.
Ayrıca C2 sunucularını DNS üzerinden HTTPS (DOH) aracılığıyla çözerler ve DNS izleme, TLS muayenesi ve coğrafi bloklama gibi ağ düzeyinde savunmalardan kaçacak şekilde tasarlanırlar.
“Windows örnekleri [..] komut yürütme yetenekleri ile donatılmamış, “dedi Nviso.” Bunun yerine, RDP veya KOBİ gibi iyi bilinen protokolleri kötüye kullanmak için geçerli kimlik bilgileri ile birlikte ağ tünelleme yetenekleri kullanılarak rakipler gözlemlenmiştir.