Νέες επιθέσεις που αποδίδονται στην ομάδα κυβερνοκατασκοπείας Mustang Panda με έδρα την Κίνα, δείχνουν ότι ο παράγοντας απειλής στράφηκε σε δύο νέα εργαλεία, που ονομάζονται FDMTP και PTSOCKET, για να κατεβάσει τα PUBLOAD και HIUPAN malware, και να κλέψει πληροφορίες από παραβιασμένα δίκτυα.
Δείτε επίσης: Βορειοκορεάτες hackers διανέμουν το COVERTCATCH malware
Οι ερευνητές ανακάλυψαν ότι οι hackers χρησιμοποιούν μια παραλλαγή του worm HIUPAN για να παραδώσουν το PUBLOAD malware stager μέσω αφαιρούμενων μονάδων δίσκου στο δίκτυο.
Η Mustang Panda, (επίσης γνωστή ως HoneyMyte/Broze President/Earth Preta/Polaris/Stately Taurus) είναι μια κινεζική κρατική ομάδα hacking που εστιάζει σε επιχειρήσεις κυβερνοκατασκοπείας εναντίον κυβερνητικών και μη κυβερνητικών φορέων κυρίως στην περιοχή Ασίας-Ειρηνικού, αλλά και σε άλλες περιοχές.
Η Mustang Panda συνήθως χρησιμοποιεί emails spear-phishing για αρχική πρόσβαση, αλλά σε μια έκθεση που δημοσιεύτηκε πρόσφατα, ερευνητές της εταιρείας κυβερνοασφάλειας Trend Micro λένε ότι νέες επιθέσεις από τον παράγοντα απειλών διέδωσαν το PUBLOAD στο δίκτυο μέσω αφαιρούμενων μονάδων δίσκου που έχουν μολυνθεί με μια παραλλαγή του HIUPAN malware.
Το HIUPAN κρύβει την παρουσία του μετακινώντας όλα τα αρχεία του σε έναν κρυφό κατάλογο και αφήνοντας μόνο ένα φαινομενικά νόμιμο αρχείο (“USBConfig.exe“) ορατό στη μονάδα δίσκου για να εξαπατήσει τον χρήστη να το εκτελέσει.
Δείτε ακόμα: SpyAgent: Νέο Android malware κλέβει τα recovery phrases των crypto wallets
Το PUBLOAD είναι το κύριο εργαλείο ελέγχου στις επιθέσεις. Εκτελείται στο σύστημα μέσω πλευρικής φόρτωσης DLL, εδραιώνει την επιμονή τροποποιώντας το μητρώο των Windows και στη συνέχεια, εκτελεί ειδικές εντολές αναγνώρισης για να χαρτογραφήσει το δίκτυο.
Εκτός από το PUBLOAD, η Mustang Panda χρησιμοποίησε ένα νέο malware που ονομάζεται FDMTP, το οποίο λειτουργεί ως δευτερεύον εργαλείο ελέγχου. Οι ερευνητές λένε ότι το FDMTP είναι ενσωματωμένο στην ενότητα δεδομένων ενός DLL και μπορεί επίσης να αναπτυχθεί μέσω πλευρικής φόρτωσης DLL.
Σύμφωνα με τους ερευνητές, η συλλογή δεδομένων σε πιο πρόσφατες επιθέσεις Mustang Panda, γίνεται σε αρχεία RAR και στόχους .DOC, .DOCX, .XLS, .XLSX, .PDF, .PPT και .PPTX.
Ο κακόβουλος παράγοντας διεισδύει στις πληροφορίες μέσω του PUBLOAD χρησιμοποιώντας το εργαλείο cURL. Ωστόσο, υπάρχει και μια εναλλακτική στο προσαρμοσμένο εργαλείο μεταφοράς αρχείων PTSOCKET, μια εφαρμογή που βασίζεται στο TouchSocket.
Δείτε επίσης: Νέο Emansrepo malware στοχεύει χρήστες των Windows
Το malware, όπως το PUBLOAD που χρησιμοποιείη Mustang Panda, αναφέρεται σε οποιοδήποτε πρόγραμμα ή κώδικα που έχει σχεδιαστεί σκόπιμα για να διαταράξει, να βλάψει ή να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε συστήματα ή δίκτυα υπολογιστών. Αυτός ο τύπος λογισμικού περιλαμβάνει μια ποικιλία μορφών, συμπεριλαμβανομένων ιών, worms, trojans, ransomware και spyware. Κάθε τύπος λειτουργεί διαφορετικά και έχει διαφορετικούς στόχους, από την κλοπή ευαίσθητων πληροφοριών έως το κλείδωμα των χρηστών από τα συστήματά τους έως ότου πληρωθούν τα λύτρα. Η προστασία από κακόβουλο λογισμικό απαιτεί έναν συνδυασμό ισχυρών μέτρων κυβερνοασφάλειας, ενημερωμένου λογισμικού και εκπαίδευσης των χρηστών για την αναγνώριση πιθανών απειλών και ύποπτων δραστηριοτήτων.
Πηγή: bleepingcomputer