Güvenlik analistleri, Hodur ve Özel Yükleyiciler adlı korpug kötü amaçlı yazılımın yeni bir varyantı ile en az sekiz ay boyunca çalışan Çin bağlantılı tehdit aktör Mustang Panda'dan kötü amaçlı bir kampanyayı ortaya çıkardı.
Ayrıca TA416 olarak da izlenir, Mustang Panda, Çin hizalı ilgi alanlarına hizmet ettiği ve yakın zamanda Avrupa diplomatlarını hedef alan kimlik avı ve casusluk işlemleriyle ilişkilendirildi.
Korplug, özellikle bu özel tehdit oyuncusu tarafından, ilk önce Çin hackerlarının Avustralya hedeflerine karşı faaliyetini inceleyen 2020 raporda maruz kalan bu özel bir kötü amaçlı yazılımdır.
Siber Güvenlik Şirketi Eset tarafından analiz edilen en son bilinen kampanyada, Mustang Panda, Avrupa Diplomatları, ISS'lere (İnternet Servis Sağlayıcıları) ve Araştırma Enstitüsü'ne, yemlik belgelerle kimlik avı kullanıyor.
Ağustos 2021'den bu yana, bu kampanyanın başladığına inanıldığı zaman, bilgisayar korsanları, en son olanların, Rusya'nın Ukrayna'nın işgali, Covid-19 seyahat kısıtlamaları veya Avrupa Birliği Konseyi'nin web sitesinden kopyalanan belgeleri ile ilgili konuları birkaç kez yenilediler.
Bu kampanyadaki hedeflenen ülkeler Rusya, Yunanistan, Kıbrıs, Güney Afrika, Vietnam, Moğolistan, Myanmar ve Güney Sudan'dır.
Mustang Panda'nın hedefleme kapsamı, son birkaç yılda büyük ölçüde değişmedi, bu yüzden tehdit grubu çoğunlukla lures'larını yenilemek ve araç setini geliştirmekle meşgul.
Örneklenmiş ayrıntılı özel yükleyicileri ve yeni korpug (Hodur) varyantlarına sahip olan ESET raporları, hala yan yükü kullanan ancak şimdi tüm enfeksiyon zincirinde mevcut olan çok daha ağır şaşkınlık ve anti-analiz sistemleri içeriyor.
Kötü amaçlı modül ve şifreli korpug yükü, DECOY belgesiyle birlikte indirilir ve meşru bir çalıştırılabilir, DLL tarafı yüklemelerine yapılandırmalarını algılama için birleştirin.
Özel DLL yükleyici, bu durumda, bir SMADAV dosyasının, bir SMADAV dosyasının, bir SMADAV dosyasını, bir SMADAV dosyasını kullanabilmelerini sağlar ve yan yükleme için bilinen bir güvenlik açığı yararlanır.
Yükleyici tarafından dışa aktarılan çoklu fonksiyonlar, yeni korpug varyantını yükleyen fonksiyon olan bir kişi hariç, Bogus'dur.
Korplug, işlevselliği şu ana kadar iyice analiz edilmeyen uzaktan erişim Trojan (sıçan).
Mustang Panda'nın bu kampanyadaki kullandığı kişi, geçen yıl birim 42 araştırmacıları tarafından keşfedilen bir eklenti varyantı olan Thor'a çok benzer.
Korpug yükleri hafızada şifresi çözülürken, yalnızca şifreli bir form asla diske yazılır. Ek olarak, tüm dizeler şifrelidir ve Windows API işlevi aramaları bozulurken, önleyici önlemler de var.
Kötü amaçlı yazılım bileşenlerini barındıran yeni oluşturulan dizinlere "Software \ Microsoft \ Windows \ CurrentVersion \ Run" adlı yeni bir kayıt defteri girişi eklenerek kalıcılık elde edilirken, yeni oluşturulan dizinler "gizli" ve "sistem" olarak işaretlenir.
Bu yeni sürümün ilaveleri, yazarlarının daha fazla komut ve özellik eklediği Korpug'un sıçan yönünde görülür.
Özel Korpug varyantı'nın ilk işleyicisi tarafından desteklenen komutlar aşağıdakilerdir:
İkinci işleyici, farenin işlevselliğini ilgilendiren ve böylece temel keşif için kullanılan ilk setten daha gelişmiş olan farklı bir komut kümesini dinler.
Bu ikinci grubun listesi kapsamlıdır, ancak bazı gösterge örnekleri, sürücüleri ve dizinleri listelemek, dosyaları okuyun ve yazma, Gizli bir masaüstündeki komutları çalıştırın ve etkileşimli bir uzak Cmd.exe oturumunu başlatacak komutlardır.
Eset, Mustang Panda'nın araç setini iyileştirmeye devam edeceğine, daha güçlü ve gizli hale getireceğine inanıyorken, çok gerçekçi görünen kimlik avı e-postalarına özel dikkat gösterilmelidir.
Yüksek siyasi casusluk çıkarları sunma belirtileri gösteren bir Çinli aktör olmak, hedefleme kapsamı nispeten kararlı kalmalıdır.
Çin kimlik avı aktörleri sürekli olarak AB diplomatlarını hedef alan
Alman Govt APT27 Hacker'ların Backdooring Business Network'lerini uyardı
Google: Rusya, Çin, Beyaz Rusya Devlet Hackerları Hedef Ukrayna, Avrupa
Rusya-Ukrayna Savaşı, kötü amaçlı yazılım dağıtım için yem olarak sömürüldü
Ukrayna, Belarus hacker'larını askeri hedefleyen kimlik avına bağladı
Kaynak: Bleeping Computer