Devlet destekli Çinli hackerlar, Google Drive'da depolanan özel kötü amaçlı yazılımları dünya çapında hükümete, araştırma ve akademik organizasyonlara sunmak için bir spearphishing kampanyası başlattı.
Saldırılar Mart ve Ekim 2022 arasında gözlenmiştir ve araştırmacılar bunu siber casusluk grubu Mustang Panda'ya atfediler (Bronz Başkan, TA416).
Trend mikro araştırmacılarına göre, tehdit grubu çoğunlukla Avustralya, Japonya, Tayvan, Myanmar ve Filipinler'deki kuruluşları hedef aldı.
Çinli bilgisayar korsanları Google hesaplarını, Google Drive bağlantılarından özel kötü amaçlı yazılımları indirmeye kandıran lures ile hedeflerine e -posta mesajlarını göndermek için kullandılar.
Bugün bir raporda, trend mikro araştırmacılar, bilgisayar korsanlarının jeopolitik konularla mesajlar kullandığını ve bunların çoğunun (%84) hükümeti/hukuk örgütlerini hedeflediğini söylüyor.
Güvenlik mekanizmalarını atlamak için, gömülü bağlantı bir Google Drive veya Dropbox klasörüne işaret eder, her ikisi de tipik olarak daha az şüpheli olan iyi bir üne sahip meşru platformlar.
Bu bağlantılar, Toneshell, Toneins ve Puboad gibi özel kötü amaçlı yazılım suşlarıyla sıkıştırılmış dosyaların (RAR, Zip, JAR) indirilmesine yol açar.
Raporda, "E -postanın konusu boş olabilir veya kötü amaçlı arşivle aynı ada sahip olabilir."
"Kurbanların adreslerini e -postanın" to "başlığını eklemek yerine, tehdit aktörleri sahte e -postalar kullandı. Bu arada, gerçek kurbanların adresleri" CC "başlığında, güvenlik analizinden kaçınacak ve soruşturmalardan yavaşlatacak." - Trend Micro
Her ne kadar bilgisayar korsanları çeşitli kötü amaçlı yazılım rutinleri kullansa da, süreç tipik olarak kurban arşivlerde yürütülebilir bir hediye başlattıktan sonra DLL yan yüklemeyi içeriyordu. Şüpheleri en aza indirmek için ön planda bir tuzak belgesi görüntülenir.
Bu kampanyada kullanılan üç kötü amaçlı yazılım suşu Puboad, Toneins ve Toneshell'dir.
Kampanyada kullanılan üç özel kötü amaçlı yazılım parçasından, Mayıs 2022'den itibaren Avrupa hedeflerine yönelik kampanyaları tanımlayan bir Cisco Talos raporunda daha önce sadece Puboad belgelenmişti.
Puboad, kayıt defteri anahtarları ekleyerek ve planlanan görevler oluşturarak, kabuk kodunu çözerek ve komut ve kontrol (C2) iletişimini işleyerek kalıcılık yaratmaktan sorumlu bir Stager'dır.
Trend Micro, Puboad'ın daha sonraki sürümlerinin daha sofistike anti-analiz mekanizmaları içerdiğini söylüyor ve Mustang Panda'nın aracı geliştirmeye aktif olarak çalıştığını ima ediyor.
ToneIns, son kampanyada kullanılan ana arka kapı olan Toneshell için bir yükleyicidir. Tedavi edilen sistemde kalıcılık oluştururken, aynı zamanda tespit ve yük tonısaldan kaçmak için gizlemeyi kullanır.
Toneshell, özel istisna işleyicilerinin uygulanması yoluyla kod akışını gizleyen doğrudan bellekte yüklü bağımsız bir arka kapıdır.
Bu, arka kapı bir hata ayıklama ortamında yürütülmeyeceğinden, sandbox karşıtı bir mekanizma olarak da çalışır.
C2'ye bağlandıktan sonra, Toneshell kurban kimliği verileri içeren bir paket gönderir ve ardından yeni talimatlar bekler.
Bu komutlar, dosyaların yüklenmesine, indirilmesine ve yürütülmesine, intranet veri alışverişi için kabuklar oluşturmaya, uyku yapılandırmasını değiştirmeye ve daha fazlasına izin verir.
Trend Micro, bu son kampanyanın SecureWorks'in Eylül 2022'de bildirdiği Mustang panda tekniklerini, taktiklerini ve prosedürlerini (TTPS) içerdiğini söylüyor.
En son kampanya, geliştirilmiş bir araç seti ve genişleme özelliği belirtileri gösteriyor ve bu da Çinli bilgisayar korsanlarının istihbarat toplama ve hedefleri ihlal etme yeteneğini artırıyor.
Bu yılın başlarında Proofpoint, Mustang Panda'nın Avrupa'daki operasyonlarına odaklandığını ve üst düzey diplomatları hedeflediğini bildirdi.
Aynı zamanda bir SecureWorks raporu, bu kez Rus yetkilileri hedefleyen ayrı bir Mustang Panda kampanyası gördü.
Mart 2022'de ESET, Mustang Panda'nın Güneydoğu Asya, Güney Avrupa ve Afrika'daki operasyonlarını araştırdı ve Çin casusluk çetesinin kısa vadeli odaklanmış faaliyet patlamalarına rağmen küresel bir tehdit olduğunu gösterdi.
Çinli hackerlar devlet kurumlarını ve savunma kuruluşlarını hedef hedef
Bilgisayar korsanları bir yıl boyunca Hong Kong Govt Ajans Ağı'ndan ödün verdi
Çin siberlere bağlı yeni Badbazaar Android kötü amaçlı yazılım
Worok Hacker'lar steganografi kullanarak PNG'lerde yeni kötü amaçlı yazılımları saklayın
Nükleer savaş gemisi sırlarını satmaya çalıştığı için hapis cezasına çarptırıldı
Kaynak: Bleeping Computer