Chiński sponsorowany przez państwo cyberprzestępca, znany jako Mustang Panda, atakuje organizacje rządowe i badaczy na całym świecie za pomocą trzech wariantów złośliwego oprogramowania hostowanych na Dysku Google, Dropbox i podobnych rozwiązaniach do przechowywania danych w chmurze (otwiera się w nowej pestaña).
Badacze firmy Trend Micro niedawno wykryli nową kampanię złośliwego oprogramowania, której celem były głównie organizacje zlokalizowane w Australii, Japonii, na Tajwanie, w Mjanmie i na Filipinach.
Mustang Panda wystartował w marcu 2022 roku i trwał co najmniej do października. Atakujący tworzyli wiadomość phishingową i wysyłali ją na fałszywy adres, jednocześnie kopiując prawdziwą ofiarę. Naukowcy przypuszczają, że w ten sposób osoby atakujące chciały zminimalizować ryzyko wykrycia przez narzędzia antywirusowe, rozwiązania zabezpieczające pocztę elektroniczną itp.
Dostarczaj złośliwe pliki
„Temat wiadomości e-mail może być pusty lub mieć taką samą nazwę jak złośliwy plik” — czytamy w raporcie. Zamiast dodawać adresy ofiar do nagłówka „Do” e-maila, napastnicy używali fałszywych e-maili. Tymczasem adresy prawdziwych ofiar zostały zapisane w nagłówku „CC”, co może ominąć analizę bezpieczeństwa i spowolnić śledztwo”.
Inną rzeczą, którą zrobili, aby uniknąć wykrycia, było przechowywanie złośliwego oprogramowania na legalnych rozwiązaniach do przechowywania w chmurze, w pliku .ZIP lub .RAR, ponieważ platformy te są często umieszczane na białej liście przez narzędzia zabezpieczające przed złośliwym oprogramowaniem. Jeśli jednak ofiara dała się nabrać na sztuczkę, pobrała i uruchomiła spakowany plik, otrzymałaby te trzy niestandardowe odmiany złośliwego oprogramowania: PubLoad, ToneIns i ToneShell.
PubLoad to harmonogram etapów, używany do pobierania ładunku następnego etapu z serwera C2. Dodaje również nowe klucze rejestru i zaplanowane zadania, aby ustawić trwałość. ToneIns to instalator ToneShell, który jest głównym backdoorem. Chociaż proces ten może wydawać się zbyt skomplikowany, działa jako mechanizm zapobiegający sandboxingowi, wyjaśniają naukowcy, ponieważ backdoor nie będzie działał w środowisku debugowania.
Głównym zadaniem złośliwego oprogramowania jest przesyłanie, pobieranie i uruchamianie plików. Możesz między innymi tworzyć powłoki do wymiany danych w intranecie lub modyfikować ustawienia uśpienia. Zdaniem naukowców złośliwe oprogramowanie otrzymało ostatnio kilka nowych funkcji, co sugeruje, że Mustang Panda ciężko pracuje, ulepszając swój zestaw narzędzi i stając się z dnia na dzień coraz bardziej niebezpieczny.
Przez: BleepingComputer (Otwiera się w nowej karcie)
