Trend Micro forskare detaljerade en ny kampanj av Mustang Panda – en kinesisk APT som riktar sig till flera statliga organisationer över hela världen.
Forskare noterade hur väl hotaktören utvecklas över tid, med användningen av nya bakdörrar som använder legitima filvärdplatser för att undvika upptäckt och är sofistikerade nog att utföra sina operationer. Här är mer;
Mustang Panda Ny kampanj
Mustang Panda, även känd som Bronspresident eller TA416, har varit verksam sedan mars i år i flera delar av världen. Den kinesiska APT har kopplats till olika attacker de senaste månaderna, där Trend Micro-forskarna släppte en färsk rapport på sin nya kampanj.
Enligt det ses hotaktören rikta in sig på regering, forskning och akademiska organisationer i Australien, Japan, Taiwan, Myanmar och Filippinerna, med sin skadliga programvara, värd på legitima filvärdplattformar som Google Drive eller Dropbox.
De sägs använda Google-konton för att skicka e-post till sina mål, med ett ämne som är relaterat till geopolitiska frågor – eftersom de flesta av dem (84%) är riktade mot regeringen eller juridiska organisationer.
De inbäddade skadliga länkarna finns i Google Drive- eller Dropbox-mappar, som inte ofta flaggas av säkerhetsprogramvara på grund av deras goda rykte. Och med flera lockelser uppmanas målen att ladda ner de komprimerade filerna med RAR-, ZIP- eller JAR-tillägg, som packar upp sig själva som ToneShell, ToneIns, och PubLoad.
Under uppackning visar den skadliga programvaran ett lockbetedokument på skärmen för att undvika misstankar när processen körs i bakgrunden. Medan Cisco forskare noterade PubLoad i deras tidigare dokumentation från maj 2022, förekomsten av ToneShell och ToneIns finns i den senaste.
Användningen av ToneShell eller Tonelns definierar nivån av sofistikerade hot som aktörer är upp till, eftersom de innehåller obfuskerad kod, antianalysmekanismer och andra för att undvika upptäckt.
Dessutom skickar hotaktörer i den senaste kampanjen e-postmeddelanden till mål genom att adressera dem i CC-utrymmet – istället för Till-fält, där de flesta av undersökningarna görs i händelse av en attackscen. Alla dessa definierar att Mustang Panda aktivt arbetar med att förbättra sitt verktyg.
När det väl har installerats i målsystemet, ToneShellkommer den smarta bakdörren att tilldela ett offer-ID för hotaktören att spåra och inväntar instruktionerna. Dessa inkluderar uppladdning, nedladdning och exekvering av filer, skapa skal för intranätsdatautbyte, ändra sömnkonfiguration och mer.
Forskare noterade att TTP:erna för denna kampanj överensstämmer med de Secureworks rapport från september 2022, som spårade en tidigare kampanj av Mustang Panda.