Mustang Panda olarak bilinen Çin’in gelişmiş kalıcı tehdit (APT) grubu, karmaşık ve devam eden bir siber casusluk kampanyasının arkasındaki muhtemel suçludur. Kötü amaçlı bir e-postayla başlar ve sonunda saldırganlara virüslü makinelere yetkisiz ve kalıcı uzaktan erişim sağlayan Python tabanlı kötü amaçlı yazılımları dağıtmak için Visual Studio Code’u (VS Code) kullanır.
Cyble Araştırma ve İstihbarat Laboratuvarı’ndan (CRIL) araştırmacılar, Python dağıtım paketini indirmek için meşru bir kurulum dosyası olarak gizlenen bir .lnk dosyasını yayan kampanyayı keşfetti. Gerçekte, kötü amaçlı bir Python betiğini çalıştırmak için kullanılır. Araştırmacılar, saldırının, makinede mevcut olmaması durumunda saldırgan tarafından VS Code komut satırı arayüzünün (CLI) kurulumu yoluyla dağıtılacak olan VS Code kullanımına dayandığını belirtti. analizde 2 Ekim’de yayınlandı.
” [threat actor (TA)] bir kaldıraçtan faydalanır [VS Code] Saldırıyla ilgili blog gönderisine göre, uzak bir tünel başlatmak ve bir aktivasyon kodunu almak için kullanılan bir araç; bu araç, TA’nın kurbanın makinesine yetkisiz uzaktan erişim elde etmek için kullanabileceği bir araç.” veri sızdırma ve daha fazla kötü amaçlı yazılım dağıtma dahil olmak üzere ek kötü amaçlı etkinlikler gerçekleştirebilir.
Saldırıya ilişkin atıf tam olarak açık olmasa da, araştırmacılar saldırı akışında Çince dil unsurları buldular ve saldırı akışında belki de en iyi olarak bilinen Çinli APT grubuna işaret eden taktikler, teknikler ve prosedürler (TTP’ler) belirlediler. Mustang Panda. Cyble bunu şu şekilde takip ediyor: Görkemli Boğave aynı zamanda Bronze President, Camaro Dragon, Earth Preta, Luminous Moth ve Red Delta adlarıyla da anılıyor.
Misyon: Yetkisiz Erişim Kazanmak
Saldırı, arka planda sessizce ek bileşenleri indirirken Çince sahte “başarılı kurulum” mesajı görüntüleyen .lnk dosyasının çalıştırılmasıyla başlıyor. Bunların arasında, sonunda kötü amaçlı bir komut dosyası indiren bir Python dağıtım paketi de var. Bu yukarıda bahsedilen Python betiği, bir kez yürütüldüğünde, belirli bir dizinin varlığını kontrol ederek VS Code’un sistemde yüklü olup olmadığını kontrol eder. Bulunamazsa komut dosyası, VS Code komut satırı arayüzünü (CLI) bir Microsoft kaynağından indirmeye devam eder.
Sonunda, bu komut dosyası, kötü niyetli etkinliklerin kalıcılığını sağlamak için bir görev ayarlar; uzak bir tünel saldırganların virüslü makineye erişmesine izin vermek. Cyble’a göre saldırganlar, tüneli kurarken genellikle masaüstü bilgisayar veya sanal makine (VM) gibi uzak bir makineye güvenli bir tünel aracılığıyla bağlanmak için kullanılan bir uzantı olan VS Code Remote-Tunnels’ı kullanıyor. “Bu, kullanıcıların [remotely] makineye herhangi bir yerden erişin [VS Code] Gönderiye göre, SSH’ye ihtiyaç duymadan istemci.
Saldırganlar, virüslü makinedeki dosyalara erişmek için başka bir meşru varlık olan geliştirici deposu GitHub’dan da stratejik bir şekilde yararlanıyor. Uzak tüneli kurarken, komut dosyası, kimlik doğrulama için bunu otomatik olarak bir GitHub hesabıyla ilişkilendirir ve saldırının ilerleyen aşamalarında daha fazla kötü amaçlı faaliyete olanak sağlamak için bir etkinleştirme kodunu çıkarır.
Kötü amaçlı yazılım ayrıca kurbanın makinesinde halihazırda çalışan işlemlerin bir listesini çıkarıp bunları doğrudan komuta ve kontrol (C2) sunucusuna gönderiyor ve sistemin dil ayarları, coğrafi konumu, bilgisayarı gibi daha hassas verileri toplamaya devam ediyor. adı, kullanıcı adı, kullanıcı alanı ve kullanıcı ayrıcalıklarıyla ilgili ayrıntılar. Ayrıca çeşitli dizinlerdeki klasörlerin adlarını da toplar.
Saldırganlar sızdırılan verileri aldıktan sonra GitHub hesabını kullanarak cihaza uzaktan erişim için oturum açabilirler. Cyble’a göre “Burada, asistan kurbanın makinesine yetkisiz erişim sağlamak için sızdırılmış alfasayısal aktivasyon kodunu girebilir.”
Gönderiye göre, “Bu erişim derecesi yalnızca kurbanların dosyalarına göz atmalarına değil, aynı zamanda terminal aracılığıyla komutları yürütmelerine de olanak tanıyor.” “Bu kontrolle TA, kötü amaçlı yazılım yüklemek, hassas bilgileri çıkarmak veya sistem ayarlarını değiştirmek gibi çeşitli eylemleri gerçekleştirebilir ve bu da potansiyel olarak kurbanın sisteminin ve verilerinin daha fazla istismar edilmesine yol açabilir.”
APT Savunması Siber Dikkat Gerektirir
Araştırmacılar, Cyble’ın araştırmayı yayınladığı sırada, saldırı tarafından dağıtılan kötü amaçlı Python komut dosyasının VirusTotal üzerinde hiçbir algılamasının bulunmadığını ve bunun da savunucuların bunu standart güvenlik araçları aracılığıyla tespit etmesini zorlaştırdığını belirtti.
Bu tür saldırıları karmaşık yöntemlerle azaltmak için Mustang Panda gibi APT’lerCyble, kuruluşların şüpheli etkinlikleri, hatta VS Code gibi meşru uygulamaları içerenleri bile tespit etmek ve engellemek için davranış analizi ve makine öğrenimi yeteneklerini içeren gelişmiş uç nokta koruma çözümlerini kullanmasını öneriyor. Savunmacılar ayrıca, tehdit aktörleri tarafından oluşturulan kalıcılık mekanizmalarının tespit edilmesine yardımcı olabilecek yetkisiz veya olağandışı girişleri tespit etmek için tüm sistemlerdeki planlanmış görevleri düzenli olarak incelemelidir.
Diğer azaltma faaliyetleri arasında, özellikle .lnk dosyaları ve bilinmeyen kaynaklarla ilgili şüpheli dosya veya bağlantıların açılmasının riskleri konusunda kullanıcıları eğitmek için eğitim oturumları düzenlenmesi yer alır. Kuruluşlar ayrıca genel bir kural olarak, özellikle VS Code gibi kötüye kullanılabilen araçlar için yazılım yüklemeye yönelik kullanıcı izinlerini sınırlamalı ve sistemlere hangi uygulamaların yüklenebileceğini ve çalıştırılabileceğini kontrol etmek için uygulama beyaz listesini kullanmalıdır.