Mustang Panda olarak bilinen Çin devlet destekli bir tehdit aktörü, Google Drive, Dropbox ve benzeri bulut depolamada barındırılan üç kötü amaçlı yazılım çeşidiyle dünyanın dört bir yanındaki hükümet kurumlarını ve araştırmacıları hedefliyor. (yeni sekmede açılır) çözümler.
Trend Micro araştırmacıları kısa bir süre önce, çoğunlukla Avustralya, Japonya, Tayvan, Myanmar ve Filipinler’de bulunan kuruluşları hedefleyen yeni kötü amaçlı yazılım kampanyasını tespit etti.
Mustang Panda, Mart 2022’de başlatıldı ve en az Ekim ayına kadar sürdü. Saldırganlar, gerçek kurbanı CC’de tutarken, bir kimlik avı e-postası oluşturup sahte bir adrese gönderir. Araştırmacılar, bu şekilde, saldırganların virüsten koruma araçları, e-posta güvenlik çözümleri ve benzerleri tarafından yakalanma şanslarını en aza indirmek istediklerini varsayıyorlar.
Kötü amaçlı arşivler teslim etme
Rapor, “E-postanın konusu boş olabilir veya kötü amaçlı arşivle aynı ada sahip olabilir” diyor. “Tehdit aktörleri, kurbanların adreslerini e-postanın “Kime” başlığına eklemek yerine sahte e-postalar kullandı. Bu arada, gerçek kurbanların adresleri, muhtemelen güvenlik analizinden kaçmak ve soruşturmaları yavaşlatmak için “CC” başlığına yazıldı.”
Tespit edilmekten kaçınmak için yaptıkları bir başka şey de, kötü amaçlı yazılımı yasal bulut depolama çözümlerinde, bir .ZIP veya .RAR dosyasında depolamaktır çünkü bu platformlar genellikle güvenlik araçları tarafından beyaz listeye alınır. Ancak kurban hileye kanıp arşiv dosyasını indirip çalıştırırsa, şu üç özel kötü amaçlı yazılım türünü almış olur: PubLoad, ToneIns ve ToneShell.
PubLoad, bir sonraki aşama yükünü C2 sunucusundan indirmek için kullanılan bir hazırlayıcıdır. Kalıcılık sağlamak için yeni kayıt defteri anahtarları ve zamanlanmış görevler de ekler. ToneIns, ana arka kapı olan ToneShell için bir yükleyicidir. Araştırmacılar, süreç aşırı derecede karmaşık görünse de, bir anti-sandbox mekanizması olarak çalışıyor, çünkü arka kapı bir hata ayıklama ortamında çalışmayacak.
Kötü amaçlı yazılımın ana işi, dosyaları karşıya yüklemek, indirmek ve yürütmektir. Diğer şeylerin yanı sıra intranet veri alışverişi için kabuklar oluşturabilir veya uyku yapılandırmasını değiştirebilir. Araştırmacılar, kötü amaçlı yazılımın son zamanlarda birkaç yeni özellik kazandığını söylüyor ve Mustang Panda’nın sıkı çalıştığını, araç setini geliştirdiğini ve gün geçtikçe daha tehlikeli hale geldiğini öne sürüyor.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)
