TA416 olarak izlenen Çin hizalı grup (AKA Mustang Panda), Ağustos 2020'den bu yana Avrupa Diplomatlarını, Ukrayna'nın Rus işgali ile örtüşmek için yenilenen lazılarını içeren en son aktivite ile sürekli olarak hedeflemiştir.
Proofwoint ile yeni bir rapora göre, TA416 Spearheads Siber-casusluk operasyonları, AB'ye karşı operasyonları, fırsatçı kazançları yeniden düzenlemeden sürekli olarak bu uzun vadeli role odaklanıyor.
Araçlarını ve taktiklerini 2020'den beri esasen değişmeden tutarak ve sadece kimlik avı temalarını ve çevre birimlerini yenilemek suretiyle, TA416, analistler için basitleştirdi.
2020 Ağustos'ta başlayan kimlik avı aktörleri, AB tabanlı kuruluşları kıtadaki hükümetleri hedeflemek için kimliğine geçirdiler.
Kötü amaçlı e-postalar, daha önce Avustralya örgütlerine karşı saldırılar halinde konuşlandırılmış olan Plugx kötü amaçlı yazılımın bir varyantını sunmak için bir Dropbox URL'si kullandı.
2021 Kasım'da, TA416, mesaj açıklıklarını doğrulamak ve kampanyalarında daha hedefli bir yaklaşımı izlemek için e-postalarda gizli görüntü izleyicileri ekledi.
17 Ocak 2022'de, Proof Noktası, hedefin çıkarlarına uygun olarak adlandırılmış zip dosyalarını içeren yeni teslimat girişimlerini fark etti.
Taktikteki bir değişiklik, bu noktada, zip dosyaları bir bulut barındırma hizmetiden alınmadığı gibi, ancak bunun yerine bir damlalık kötü amaçlı yazılım çalıştırılabilir şekilde yararlandığı için de gerçekleşti.
Bu şekilde indirilen dört bileşen, plugx kötü amaçlı yazılım, yükleyicisi, DLL arama sırası korsanı (işlem yükleyici) ve bir PDF Decoy dosyasıydı.
Son olarak, 28 Şubat 2022'de, Çin tehdidi aktörleri, NATO ülkelerinin diğer üst düzey yetkililerini hedeflemek için, Ukrayna'nın Rus işgalini içeren lazıların diğer üst düzey yetkililerini hedef alacak şekilde tehlikeli bir diplomatın adresi kullanılarak tespit edildi.
Ölümsüz kişi, yakın zamanda Belarus Hacker'ları da hedef alan bir alan olan mülteci ve göçmen hizmetlerinde çalıştı.
Taktikler, kötü amaçlı yazılım düşmesi, kurulum ve yükleme yöntemleri kampanyalar arasında sabit kalırken, Mustang Panda, kullanılan bileşenleri düzenli olarak değiştirmek için biraz çaba sarf ediyor.
"Grup, yan yükü başlatmak için farklı meşru PE dosyalarını kullanır," Potplayer ve Docccon versiyonları dahil olmak üzere çeşitli Plugx DLL yükleyicileri de kullanır "dedi.
"TA416 ayrıca, iletişim yordamlarının yakından analiz edildiğinde farklı olduğu görüldüğü son eklenti yükünün farklı varyantlarını kullanır."
Bununla birlikte, çok fazla unsur, aşağıdaki tabloya yansıtıldığı gibi 2020, 2021 ve 2022 kampanyalar arasında ortak bir yer oluşturur.
Proofpoint'in raporu sonuç olarak altını çizerken, bu yüzeysel varyasyonlar, özellikle şimdi taze bir uzlaşma göstergesinin yayınlandığını, bu nedenle uyanıklık ve iyi e-posta güvenlik uygulamaları tüm potansiyel hedeflere tavsiye edilmektedir.
Google: Rusya, Çin, Beyaz Rusya Devlet Hackerları Hedef Ukrayna, Avrupa
Emotet, Kasım ayının yeniden canlanmasından beri yavaşça ama istikrarlı bir şekilde büyüyor
Google: Çince bilgisayar korsanları, ABD Govt'ına bağlı gmail kullanıcılarını hedef alıyor
AdaFruit, eski çalışanların Github reposundan veri sızıntısını açıklar.
Rusya-Ukrayna Savaşı, kötü amaçlı yazılım dağıtım için yem olarak sömürüldü
Kaynak: Bleeping Computer