Mustang Panda’nın Tehditleri ve Gelişmiş Malware Kullanımı
Son dönemde, Mustang Panda adıyla bilinen Çin merkezli bir tehdit aktörünün özellikle dikkat çekici bir geliştirimi oldu. Bu grup, TONESHELL adını verdiği bir arka kapı programının güncellenmiş sürümünü ve daha önce belgelendirilmeyen bir USB solucanı olan SnakeDisk‘i kullanmaya başladı. IBM X-Force araştırmacıları, yaptıkları analizde bu tehditlerin özellikle Tayland merkezli IP adreslerine odaklandığını belirtmektedir.
TONESHELL: Geçmiş ve Önemi
TONESHELL, ilk olarak Trend Micro tarafından Kasım 2022’de, Myanmar, Avustralya, Filipinler, Japonya ve Tayvan’ı hedef alan siber saldırılarda belgelenmiştir. Genellikle DLL yan yükleme yöntemi ile çalıştırılan bu malware, enfekte olmuş bir sistemde sonraki aşamaların yükünü indirmekle sorumludur. Bu tür saldırı şemalarında, genellikle spear-phishing e-postaları ile PUBLOAD veya TONESHELL gibi kötü amaçlı yazılımlar dağıtılmaktadır.
IBM X-Force tarafından belirlenen yeni TONESHELL varyantları, TONESHELL8 ve TONESHELL9 olarak adlandırılmıştır. Bu yeni sürümler, yerel olarak yapılandırılmış proxy sunucuları üzerinden C2 iletişimini destekleyerek kurumsal ağ trafiği ile birleşip, eş zamanlı olarak iki aktif ters kabuk (reverse shell) oluşturma yeteneğine sahiptir. Ayrıca, bu zararlı yazılımlar, OpenAI’ın ChatGPT web sitesinden kopyalanan gereksiz kodları içererek, statik tespitlerden kaçınmakta ve analizlerden uzakta durmaktadır.
SnakeDisk: USB Solucanın Tehdit Profili
Mustang Panda’nın kullandığı diğer bir aldatıcı yöntem ise SnakeDisk adını taşıyan USB solucanıdır. Bu solucan, TONEDISK (veya WispRider) adıyla bilinen başka bir USB solucan çerçevesi ile bazı benzerlikler taşımaktadır. SnakeDisk, anahtar bir işlev olarak, ana bilgisayara bağlı yeni ve mevcut USB cihazlarını tespit etmekte ve bu cihazları yayılmak üzere bir araç olarak kullanmaktadır.
Dikkat çekici bir özellik olarak, SnakeDisk sadece Tayland’a ait halka açık IP adreslerinde çalışarak, enfekte olmuş sistemlerde Yokai adında bir arka kapı bırakmaktadır. Yokai, ters kabuk kurarak rastgele komutları yürütmek amacıyla kullanılan bir malware olarak tanımlanmaktadır. Daha önce Netskope tarafından, Tayland’daki yetkilileri hedef alan ihlallerde detaylandırılmıştır.
Hedeflenme ve Stratejiler
Mustang Panda olarak adlandırılan bu aktör, 2012 yılından beri aktif durumdadır. Hive0154 ismiyle de bilinen bu tehdit grubu, bir dizi Kötü Amaçlı Yazılım ekosistemine sahiptir ve sürekli olarak güncellemeler yapmaktadır. IBM’e göre, HYVE0154 grubu, aktif alt kümeleri ile dikkat çekmektedir ve bu da grubun yeteneklerini göstermektedir.
Yokai, PUBLOAD/PUBSHELL ve TONESHELL gibi farklı arka kapı aileleriyle örtüşmektedir. Her ne kadar bu yazılımlar ayrı parçalara ayrılmakta olsa da benzer yapı ve teknikler kullanarak C2 sunucusuyla ters kabuk kurmayı başarmaktadırlar. Bu durum, Mustang Panda grubunun Tayland’a özel bir alt grubu olduğunu ve bu grubun tehdit silahlarının sürekli evrim geçirdiğini gözler önüne sermektedir.
Sonuç: Durdurulamaz Bir Tehdit
Siber güvenlik alanında kaydedilen gelişmeler, Mustang Panda grup ve benzeri tehdit aktörlerinin ne kadar sofistike ve uyumlu hale geldiğini açıkça göstermektedir. SnakeDisk ve Yokai gibi kötü amaçlı yazılımların kullanımı, grup içindeki hiyerarşiyi ve gelişmeyi tetiklemektedir. Bu durum, siber güvenlik uzmanlarının daha fazla önlem alması gerektiğini ve kullanıcıların da bilinçlendirilmesi gerektiğini ortaya koymaktadır.
Gelecek dönemlerde bu tür tehditlerle mücadele edebilmek için daha güçlü siber güvenlik çözümleri geliştirilirken, bireylerin de dikkatli olması, önleyici tedbirleri alması büyük önem taşımaktadır.
