Çin bağlantılı Mustang Panda oyuncusu, Filipinler hükümetine ait bir kuruluşu hedef alan bir siber saldırıyla ilişkilendirildi. artan gerilim İki ülke arasında tartışmalı Güney Çin Denizi konusunda
Palo Alto Networks Birim 42, muhalif kolektifi Ağustos 2023’teki üç kampanyaya bağladı ve öncelikle Güney Pasifik’teki kuruluşları öne çıkardı.
Şirket, “Kampanyalarda, kötü amaçlı dosyaları dışarıdan yüklemek için Solid PDF Creator ve SmadavProtect (Endonezya merkezli bir antivirüs çözümü) dahil meşru yazılımlardan yararlanıldı.” söz konusu.
“Tehdit yazarları aynı zamanda kötü amaçlı yazılımı, komut ve kontrol (C2) bağlantıları için yasal Microsoft trafiğini taklit edecek şekilde yaratıcı bir şekilde yapılandırdı.”
Bronze President, Camaro Dragon, Earth Preta, RedDelta ve Stately Taurus isimleri altında da takip edilen Mustang Panda’nın, en az 2012’den beri aktif olan ve sivil toplum kuruluşlarını hedef alan siber casusluk kampanyalarını düzenleyen bir Çin gelişmiş kalıcı tehdidi (APT) olduğu değerlendiriliyor. (STK’lar) ve Kuzey Amerika, Avrupa ve Asya’daki hükümet organları.
Eylül 2023’ün sonlarında Birim 42, tehdit aktörünün TONESHELL adı verilen bir arka kapı çeşidini dağıtmak üzere isimsiz bir Güneydoğu Asya hükümetine yönelik saldırılara karıştığını da tespit etti.
En son kampanyalar, hedef odaklı kimlik avı e-postalarından yararlanarak, adı verilen bir teknik kullanılarak başlatılan sahte bir dinamik bağlantı kitaplığı (DLL) içeren kötü amaçlı bir ZIP arşiv dosyası sunar. DLL yandan yükleme. DLL daha sonra uzak bir sunucuyla bağlantı kurar.
Filipinler hükümet kuruluşunun büyük olasılıkla 10-15 Ağustos 2023 arasındaki beş günlük süre içinde tehlikeye girdiği değerlendiriliyor.
SmadavProtect’in kullanımı, son aylarda Mustang Panda tarafından benimsenen ve güvenlik çözümünü atlatmak için açıkça tasarlanmış kötü amaçlı yazılımları kullanan bilinen bir taktiktir.
Araştırmacılar, “Görkemli Taurus, Çin’in en aktif APT’lerinden biri olarak kalıcı siber casusluk operasyonları yürütme yeteneğini göstermeye devam ediyor” dedi.
“Bu operasyonlar, küresel olarak Çin hükümetini ilgilendiren jeopolitik konularla uyumlu çeşitli kuruluşları hedef alıyor.”
Açıklama, Higaisa adlı Güney Koreli bir APT aktörünün, OpenVPN gibi iyi bilinen yazılım uygulamalarını taklit eden kimlik avı web siteleri aracılığıyla Çinli kullanıcıları hedef aldığının ortaya çıkmasıyla geldi.
Cyble, “Yükleyici çalıştırıldıktan sonra Rust tabanlı kötü amaçlı yazılımı sisteme bırakıp çalıştırıyor ve ardından bir kabuk kodunu tetikliyor.” söz konusu geçen ayın sonlarında. “Kabuk kodu, hata ayıklamayı önleme ve şifre çözme işlemlerini gerçekleştirir. Daha sonra, uzak bir Tehdit Aktörü (TA) ile şifreli komut ve kontrol (C&C) iletişimi kurar.”
