Çin merkezli tehdit aktörü olarak bilinen Mustang Panda Asya, Avrupa Birliği, Rusya ve ABD’de bulunan varlıklara saldırmak için taktiklerini ve kötü amaçlı yazılımlarını iyileştirdiği ve yeniden donattığı gözlemlendi
Cisco Talos, “Mustang Panda, kurbanları kendilerine bulaştırmaları için kandırmak için öncelikle topikal yemlerin ve sosyal mühendisliğin kullanımına dayanan, yüksek motivasyonlu bir APT grubudur.” dedim Grubun gelişen çalışma şeklini detaylandıran yeni bir raporda.
Grubun, en az 2012’den beri çok çeşitli organizasyonları hedef aldığı biliniyor; aktör, ağırlıklı olarak uzun vadeli erişim için dağıtılan bir arka kapı olan Drop PlugX’e ilk erişim elde etmek için öncelikle e-posta tabanlı sosyal mühendisliğe güveniyor.
Kampanyaya atfedilen kimlik avı mesajları, her ikisi de güvenliği ihlal edilmiş makinelere kötü amaçlı yazılım indiren Ukrayna’da devam eden çatışma hakkında resmi Avrupa Birliği raporları veya Ukrayna hükümeti raporları gibi görünen kötü niyetli cazibeler içeriyor.
Ayrıca, ABD’deki ve Myanmar, Hong Kong, Japonya ve Tayvan gibi birkaç Asya ülkesindeki çeşitli varlıkları hedef alan kimlik avı mesajları da gözlemlendi.
Bulgular, Secureworks’ün, grubun, Blagoveshchensk sınır müfrezesi hakkında bir rapor kılığına giren PlugX içeren bir tuzak kullanarak Rus hükümet yetkililerini hedef almış olabileceğine dair yakın tarihli bir raporun ardından geldi.
Ancak Mart 2022’nin sonuna doğru tespit edilen benzer saldırılar, aktörlerin enfeksiyon zincirinin farklı bileşenlerini elde etmek için kullanılan uzak URL’leri azaltarak taktiklerini güncellediklerini gösteriyor.
PlugX dışında, APT grubu tarafından kullanılan enfeksiyon zincirleri, özel hazırlayıcıların, ters kabukların, Meterpreter tabanlı kabuk koduve hepsi casusluk ve bilgi hırsızlığı yapmak amacıyla hedeflerine uzaktan erişim sağlamak için kullanılan Cobalt Strike.
Talos araştırmacıları, “Bu saldırgan, Asya ve Avrupa’da zirve ve konferans temalı yemler kullanarak, casusluk ve bilgi hırsızlığı yapmak için mümkün olduğunca uzun vadeli erişim elde etmeyi hedefliyor.” Dedi.