Çin bağlantılı ulus-devlet bilgisayar korsanlığı grubu olarak adlandırılan Mustang Pandası Avrupa ve Asya Pasifik’teki varlıklara saldırmak için devam eden Rus-Ukrayna Savaşı ile ilgili tuzaklar kullanıyor.
Bu, BlackBerry Araştırma ve İstihbarat Ekibine göre, analiz edildi “Rusya.rar’a yönelik yeni AB yaklaşımı için Siyasi Kılavuz” başlıklı bir RAR arşiv dosyası. Hedef alınan ülkelerden bazıları Vietnam, Hindistan, Pakistan, Kenya, Türkiye, İtalya ve Brezilya’dır.
Mustang Panda, Bronze President, Earth Preta, HoneyMyte, RedDelta ve Red Lich adlarıyla da takip edilen Çin’den üretken bir siber casusluk grubudur.
Secureworks’e göre en az Temmuz 2018’den beri aktif olduğuna inanılıyor. tehdit profiliancak göstergeler, tehdit aktörünün 2012 gibi erken bir tarihte dünya çapındaki varlıkları hedef aldığını gösteriyor.
Mustang Panda’nın, ilk bulaşmaya ulaşmak için kimlik avı e-postaları yoluyla silahlı ekler göndermeye büyük ölçüde güvendiği ve izinsiz girişlerin sonunda PlugX uzaktan erişim truva atının konuşlandırılmasına yol açtığı biliniyor.
Ancak grup tarafından Asya Pasifik bölgesindeki hükümet, eğitim ve araştırma sektörlerini hedef alan son hedefli kimlik avı saldırıları, kötü amaçlı yazılım cephaneliğinin genişletildiğini düşündüren PUBLOAD, TONEINS ve TONESHELL gibi özel arka kapıları içeriyordu.
BlackBerry’nin en son bulguları, Mustang Panda’nın Google ve Proofpoint’in önceki raporlarını tekrarlayarak jeopolitik olayları kendi avantajlarına kullanmaya devam etmesine rağmen, temel enfeksiyon sürecinin aşağı yukarı aynı kaldığını gösteriyor.
Tuzak arşivinde bulunan, Microsoft Word dosyasına giden bir kısayoldur; DLL yandan yükleme – aynı zamanda kullanılan bir teknik saldırılar Bu yılın başlarında Myanmar’ı hedefliyordu – belgenin içeriğini göstermeden önce bellekte PlugX’in yürütülmesini başlatmak için.
“Saldırı zincirleri, arşiv dosyalarının, kısayol dosyalarının, kötü amaçlı yükleyicilerin sürekli kullanımı ve PlugX kötü amaçlı yazılımının kullanımıyla tutarlı olmaya devam ediyor, ancak dağıtım kurulumları genellikle kurbanları yüklerini çalıştırma umuduyla yüklerini çalıştırmaya çekmek için bölgeye/ülkeye göre özelleştiriliyor. BlackBerry’den Dmitry Bestuzhev, The Hacker News’e verdiği demeçte, “casusluk amacıyla kalıcılık sağlamak” dedi.
Bestuzhev, saldırılar ile Trend Micro tarafından geçen ay açıklanan izinsiz giriş seti arasında hiçbir taktik örtüşmenin bulunmadığını söyledi; bu da, rakibin teslim mekanizmasında ve konuşlandırma yönteminde çok az sapma ile son yükleri değiştirebildiğini gösteriyor.
Bestuzhev, “Mevcut kötü amaçlı yazılımları kullanarak temel araç setlerini değiştirip güncelledikleri ve ayrıca kampanyadan kampanyaya kendi özel araçlarını geliştirdikleri biliniyor.” “Bunu yapabildikleri gerçeği, aynı zamanda ellerinde bulunan kaynak sağlama, karmaşıklık ve uzmanlık düzeyinin bir göstergesidir.”