Mustang Panda kimdir? Bu grubun hedefleri nelerdir? Hangi tür siber saldırılar gerçekleştirmektedirler? Kullandıkları zararlı yazılımların özellikleri nelerdir?
Mustang Panda kimdir?
Mustang Panda, 2012’den beri aktif olan, Çin ile bağlantılı bir tehdit aktörüdür. Bu grup, devlet destekli bir siber ajan olarak tanımlanmaktadır ve özellikle Doğu Asya’daki hükümetler, askeri kuruluşlar, azınlık grupları ve sivil toplum kuruluşları üzerinde saldırılar gerçekleştirmektedir. Mustang Panda, çeşitli yeni teknikler ve araçlar kullanarak siber güvenliği aşmayı hedeflemektedir.
Bu grubun hedefleri nelerdir?
Mustang Panda’nın hedefleri genellikle hükümet kurumları, askeri yetkililer ve sivil toplum kuruluşlarıdır. Özellikle Asya’nın doğu bölgelerinde aktif olan grup, bazı Avrupa ülkelerinde de operasyonlar yürütmektedir. Grubun hedefleri, genellikle belirli politik veya askeri bilgileri ele geçirme ve kritik altyapılara sızma üzerine yoğunlaşmaktadır.
Hangi tür siber saldırılar gerçekleştirmektedirler?
Mustang Panda, geliştirdiği zararlı yazılımlar aracılığıyla geniş çaplı siber saldırılar gerçekleştirmektedir. Bu saldırılar arasında devlet kurumlarına yönelik siber casusluk faaliyetleri, bilgi çalmak ve hedef sistemlere sızmak yer almaktadır. Kullanılan teknikler arasında DLL side-loading gibi yöntemler de bulunmaktadır. Bu yöntemler, mevcut yazılımların zayıflıklarından yararlanarak zararlı yazılımların hedef sistemlere yerleştirilmesini sağlamaktadır.
Kullandıkları zararlı yazılımların özellikleri nelerdir?
Mustang Panda, çeşitli zararlı yazılımlar kullanarak saldırılarını yürütmektedir. Bunlar arasında güncellenmiş bir backdoor olan TONESHLL, yeni bir yan hareket aracı olan StarProxy, iki tane keylogger olan PAKLOG ve CorKLOG ile birlikte EDR (Endpoint Detection and Response) kaçış sürücüsü SplatCloak yer almaktadır.
TONESHLL, grup tarafından kullanılan bir backdoor olup, sahte TLS (FakeTLS) komut ve kontrol iletişim protokolündeki güncellemeler ile birlikte yeni yöntemler geliştirmiştir. Diğer bir yeni yazılım olan StarProxy ise, zararlı aktörlerin hedef sistemler arasındaki iletişimi yönlendirmesini sağlamakta ve bu süreçte iletişimi gizlemek için FakeTLS protokolünü kullanmaktadır.
İki yeni keylogger, PAKLOG ve CorKLOG da, kullanıcının tuş vuruşlarını ve panodaki verileri izlemek için tasarlanmıştır. CorKLOG, yakalanan verileri şifreli bir dosyada saklayarak daha yüksek bir güvenlik seviyesi sunmaktadır. Ancak her iki keylogger da kendi başlarına veri dışa aktarma yeteneklerine sahip değildir; sadece verileri toplamakta ve belirli bir konuma yazmaktadır.
Son olarak, Mustang Panda’nın yeni zırhlı aracı SplatCloak, EDR çözümlerini devre dışı bırakma yeteneğine sahip bir Windows çekirdek sürücüsüdür. Bu araç, Windows Defender ve Kaspersky gibi uygulamalar tarafından sağlanan korumaları aşmayı amaçlamaktadır.
Mustang Panda’nın siber saldırılardaki yöntemleri, grubun nesiller boyu süren gelişim ve yenilikçilik anlayışının bir sonucudur. Düzenli güncellemeler ve yeni araçların entegrasyonu, grubun gizlilik ve operasyonel güvenliğini artırarak etkili saldırılar gerçekleştirmesine yardımcı olmaktadır.
Sürekli olarak gelişen zararlı yazılımlarla birlikte Mustang Panda, siber güvenlik tehditleri arasında dikkat çekici bir yer edinmektedir. Grubun siber saldırılara olan bağlılığı ve kullanılan araçların etkinliği, bu tehdit aktörünün gelecekte de siber dünyada etkili olacağını göstermektedir.
