Η Κινεζική ομάδα Mustang Panda ξεκίνησε μια εκστρατεία spearphishing που παρέδωσε προσαρμοσμένο κακόβουλο λογισμικό αποθηκευμένο στο Google Drive σε κυβερνητικούς, ερευνητικούς και ακαδημαϊκούς οργανισμούς σε όλο τον κόσμο.

Οι επιθέσεις, οι οποίες πραγματοποιήθηκαν μεταξύ Μαρτίου και Οκτωβρίου του επόμενου έτους, συνδέονται με την ομάδα κατασκοπείας στον κυβερνοχώρο Mustang Panda.

Δείτε επίσης: Windows zero day εκμεταλλεύεται για να ρίξει λογισμικό Qbot

Με βάση την έρευνα της Trend Micro, φαίνεται ότι οι κύριοι στόχοι αυτής της ομάδας είναι οργανισμοί που βρίσκονται στην Αυστραλία, την Ιαπωνία, την Ταϊβάν, τη Μιανμάρ και τις Φιλιππίνες.

Οι Κινέζοι χάκερ έστειλαν στους στόχους τους email από λογαριασμούς Google, με γραμμές θέματος που περιείχαν ψευδείς πληροφορίες που θα ξεγελούσαν τον αναγνώστη ώστε να κατεβάσει κακόβουλο λογισμικό από έναν σύνδεσμο του Google Drive.

Πληροφορίες σχετικά με τη μόλυνση

Σύμφωνα με τους ερευνητές της Trend Micro σε σημερινή έκθεσή τους, οι χάκερ χρησιμοποίησαν κυρίως μηνύματα με γεωπολιτικά θέματα και στόχευαν κυρίως κυβερνητικούς/νομικούς οργανισμούς (84% των περιπτώσεων).

Δείτε επίσης: AXLocker ransomware: Παραβιάζει Discord accounts

Ο κυβερνοεγκληματίας χρησιμοποιεί έναν ενσωματωμένο σύνδεσμο που παραπέμπει σε έναν φάκελο Google Drive ή Dropbox, προκειμένου να παρακάμψει τους μηχανισμούς ασφαλείας, καθώς αυτές οι πλατφόρμες έχουν συνήθως καλή φήμη και είναι λιγότερο ύποπτες.

Αυτοί οι σύνδεσμοι οδηγούν στο download συμπιεσμένων αρχείων που περιέχουν στελέχη κακόβουλου λογισμικού όπως τα ToneShell, ToneIns και PubLoad.

“Σύμφωνα με την έκθεση, το θέμα του ηλεκτρονικού ταχυδρομείου μπορεί να είναι κενό ή να έχει το ίδιο κακόβουλο όνομα με το αρχείο.”

Παρόλο που οι χάκερ χρησιμοποίησαν διάφορες ρουτίνες φόρτωσης κακόβουλου λογισμικού, η διαδικασία συνήθως περιλάμβανε DLL sideloading αφού το θύμα εκκίνησε ένα εκτελέσιμο στα αρχεία. Ένα έγγραφο δόλωμα εμφανίζεται στο προσκήνιο για να ελαχιστοποιηθούν οι υποψίες.

Η εξέλιξη του malware

Τα τρία στελέχη κακόβουλου λογισμικού που χρησιμοποιήθηκαν σε αυτή την εκστρατεία είναι τα PubLoad, ToneIns και ToneShell.

Από τους τρεις τύπους προσαρμοσμένου κακόβουλου λογισμικού που χρησιμοποιήθηκαν σε αυτή την εκστρατεία, μόνο το PubLoad έχει αναλυθεί στο παρελθόν. Αυτό συνέβη σε μια έκθεση της Cisco Talos από τον Μάιο του 2022, η οποία περιέγραφε εκστρατείες εναντίον ευρωπαϊκών στόχων.

Το PubLoad είναι ένα κακόβουλο λογισμικό που είναι υπεύθυνο για τη δημιουργία persistence προσθέτοντας κλειδιά μητρώου και δημιουργώντας προγραμματισμένες εργασίες. Επίσης, αποκρυπτογραφεί shellcode και χειρίζεται επικοινωνίες εντολών και ελέγχου (C2).

Η Trend Micro ανακάλυψε αργότερα ότι το PubLoad διέθετε πιο εξελιγμένους μηχανισμούς anti-analysis, γεγονός που υποδηλώνει ότι η ομάδα Mustang Panda εξακολουθούσε να εργάζεται ενεργά πάνω στο εργαλείο.

Δείτε επίσης: SEO poisoning επίθεση μέσω του Google Data Studio

Το ToneIns είναι ένας installer που χρησιμοποιείται για την εγκατάσταση του ToneShell, το οποίο είναι το κύριο backdoor που χρησιμοποιείται στις πρόσφατες κυβερνοεπιθέσεις

. Με τη χρήση του obfuscation, είναι σε θέση να διαφεύγει της ανίχνευσης, ενώ παράλληλα επιτρέπει στους επιτιθέμενους να διατηρούν το persistence τους σε ένα μολυσμένο σύστημα.

Το ToneShell είναι ένα backdoor που φορτώνεται απευθείας στη μνήμη και διαθέτει code flow obfuscation μέσω της υλοποίησης προσαρμοσμένων exception handlers.

Αυτό λειτουργεί και ως μηχανισμός anti-sandbox, καθώς το backdoor δεν εκτελείται σε περιβάλλον εντοπισμού σφαλμάτων.

Αφού συνδεθεί με το C2, το ToneShell στέλνει ένα πακέτο με τα ID data του θύματος και στη συνέχεια περιμένει υπομονετικά για νέες οδηγίες.

Αυτές οι εντολές σας επιτρέπουν να ανεβάζετε και να κατεβάζετε αρχεία, να δημιουργείτε shells για την ανταλλαγή δεδομένων στο intranet, να αλλάζετε το sleep configuration και πολλά άλλα.

Η δραστηριότητα της ομάδας Mustang Panda

Η Trend Micro ανακάλυψε ότι η πρόσφατη εκστρατεία χρησιμοποιεί τις ίδιες τεχνικές, τακτικές και διαδικασίες (TTPs) της Mustang Panda με αυτές που ανέφερε η Secureworks τον Σεπτέμβριο του περασμένου έτους.

Η πρόσφατη εκστρατεία των χάκερ δείχνει καλύτερα εργαλεία και τη δυνατότητα να προσεγγίζουν περισσότερους στόχους, επιτρέποντάς τους να συλλέγουν πληροφορίες και να εισβάλλουν σε συστήματα.

Η Proofpoint ανέφερε νωρίτερα μέσα στην χρονιά ότι η ομάδα Mustang Panda εστίαζε τις δραστηριότητές της στην Ευρώπη, στοχεύοντας συγκεκριμένα σε υψηλόβαθμους διπλωμάτες.

Παρόλο που έχουν βραχυπρόθεσμες εκρήξεις εστιασμένης δραστηριότητας, η κινεζική συμμορία κατασκοπείας Mustang Panda αποτελεί παγκόσμια απειλή, όπως μας δείχνει η έρευνα της ESET τον Μάρτιο του 2022. Οι δραστηριότητές τους εξερεύνησαν τη Νοτιοανατολική Ασία, τη Νότια Ευρώπη και την Αφρική.

Τι είναι το Spearphishing

Το Spearphishing είναι ένας τύπος απάτης ηλεκτρονικού ταχυδρομείου που στοχεύει συγκεκριμένα άτομα ή οργανισμούς. Σε αντίθεση με τις απάτες phishing, οι οποίες στέλνουν μαζικά μηνύματα ηλεκτρονικού ταχυδρομείου με την ελπίδα να “αρπάξουν” μερικά θύματα, οι spearphishers κάνουν τη δουλειά τους και δημιουργούν προσεκτικά εξατομικευμένα μηνύματα ηλεκτρονικού ταχυδρομείου που έχουν σχεδιαστεί για να ξεγελάσουν τον παραλήπτη και να τον κάνουν να νομίζει ότι προέρχονται από μια αξιόπιστη πηγή.

Πηγή πληροφοριών: bleepingcomputer.com