Mustang Panda olarak bilinen Çin bağlantılı bir tehdit aktörü, Tibet topluluğuna yönelik yeni bir siber casusluk kampanyasına atfedildi.
Ibm X-Force’a göre, mızrak akhis saldırıları Tibet ile ilgili 9. Dünya Parlamenterlerinin Tibet (WPCT), Tibet Otonom Bölgesinde (TAR) konvansiyonu ve 14. Dalai Lama’nın yakın zamanda yayınlanan bir kitabı gibi Tibet ile ilgili konulardan yararlandı.
Teknoloji şirketinin siber güvenlik bölümü, kampanyayı bu ayın başlarında gözlemlediğini ve saldırıların Pubroad adlı bilinen bir Mustang Panda kötü amaçlı yazılımının konuşlandırılmasına yol açtığını söyledi. Hive0154 adı altında tehdit oyuncusu izliyor.
Saldırı zincirleri, Tibet web siteleri ve WPCT’den fotoğraflar tarafından yeniden üretilen makalelerle birlikte, belge olarak gizlenmiş bir yürütülebilir dosyayı açmak için iyi huylu bir Microsoft kelime dosyası içeren kötü amaçlı bir arşiv dağıtmak için Tibet temalı yemler kullanıyor.
Önceki Mustang panda saldırılarında gözlemlendiği gibi yürütülebilir ürün, daha sonra uzak bir sunucu ile iletişim kurmak ve bir sonraki aşamalı yük getirmekten sorumlu bir indirici kötü amaçlı yazılım olan Puboad’ı dağıtmak için kullanılan kötü niyetli bir DLL istikrarını başlatmak için DLL yan yüklemeden yararlanır.
Güvenlik araştırmacıları Golo Mühr ve Joshua Chung, bu hafta yayınlanan bir analizde, “Pubshell, ters bir kabuk aracılığıyla makineye derhal erişimi kolaylaştıran hafif bir arka kapıdır” dedi.
Bu aşamada, bazı isimlendirme farklılıklarından bahsetmeye değer: IBM, Mayıs 2022’de Cisco Talos tarafından ilk kez belgelenen ve ilk aşama kabuk kodu indiricisine Puboad adına İhractoader adını verdi, ancak Trend Micro hem Stager’ı hem de indiriciyi Pubload olarak tanımlıyor. T5 Takımı, benzer şekilde, iki bileşeni toplu olarak noFive olarak izler.
Gelişme, IBM’in faaliyetinden haftalar sonra, 2024’ün sonlarından 2025’in başına kadar ABD, Filipinler, Pakistan ve Tayvan’ı hedefleyen bir HIVE0154 alt kümesinin çalışmasıdır.
Bu etkinlik, Tibet’i hedefleyenlerde olduğu gibi, mızrak aktı e-postalarından kaynaklanan ve hükümet, askeri ve diplomatik varlıkları hedeflemek için silahlandırılmış arşivler kullanır.
Dijital misyonlar, tıkladıktan sonra bu yıl Toneshell’in dağıtımına ve bu yıl İstemStoader aracılığıyla başlayan Pubroad’a neden olan, bu yıl Toneshell’in dağıtımına neden olan Gooby Tapınan Zip veya RAR arşivlerini indiren Google Drive URL’lerine bağlantılar içerir.
Bir diğer Mustang Panda kötü amaçlı olan Toneshell, PubShell’e benzer şekilde işlev görür, çünkü bir ters kabuk oluşturmak ve tehlikeye atılan ana bilgisayarda komutlar yürütmek için de kullanılır.
Araştırmacılar, “Anonim borular aracılığıyla ters kabuğun pubshell uygulaması Toneshell ile neredeyse aynı.” Dedi. “Bununla birlikte, herhangi bir sonuç döndürmesi için yeni bir iş parçacığı çalıştırmak yerine, PubShell komut sonuçlarını döndürmek için ek bir komut gerektirir. Ayrıca sadece ‘cmd.exe’yi bir kabuk olarak çalıştırmayı destekler.”
“Birkaç yönden, Puboad ve Pubshell, daha az karmaşıklık ve net kod örtüşerek Toneshell’in bağımsız olarak geliştirilmiş bir ‘lite versiyonu’ gibi görünüyor.”
Tayvan’ı hedefleyen saldırılar, Hiupan (diğer adıyla MistCloak veya U2Diskwatch) adı verilen bir USB solucanı kullanımı ile karakterize edildi, bu da daha sonra İstemci ve Puboad’ı USB cihazları üzerinden yaymak için kaldırıldı.
Araştırmacılar, “HIVE0154, birden fazla aktif alt kümeye ve sık gelişim döngülerine sahip oldukça yetenekli bir tehdit aktörü olmaya devam ediyor.” Dedi.
“HIVE0154 gibi Çin ile uyumlu gruplar, büyük kötü amaçlı yazılım cephaneliğini geliştirmeye ve özel ve kamu sektörlerindeki Doğu Asya merkezli organizasyonlara odaklanmaya devam edeceklerdir. Geniş takım, sık kalkınma döngüleri ve USB solucan tabanlı kötü amaçlı yazılım dağıtımları onları karmaşık bir tehdit aktör olarak vurgular.”