Η Mustang Panda, μια κινεζική ομάδα κυβερνοκατασκοπείας, φαίνεται πως χρησιμοποιεί στις επιθέσεις ένα νέο κακόβουλο custom backdoor με το όνομα “MQsTTang“.
Η Mustang Panda, που είναι επίσης γνωστή ως TA416 και Bronze President, είναι μια ομάδα Advanced Persistent Threat (APT) που πραγματοποιεί επιθέσεις κλοπής δεδομένων σε όλο τον κόσμο χρησιμοποιώντας τροποποιημένες παραλλαγές του PlugX malware.
Το πρόσφατα ανακαλυφθέν MQsTTang backdoor malware της Mustang Panda δεν μοιάζει με οτιδήποτε έχει παρατηρηθεί στο παρελθόν, γεγονός που υποδηλώνει ότι οι hackers το δημιούργησαν για να αποφύγουν τον εντοπισμό και να αποκρύψουν την ταυτότητά τους.
Δείτε επίσης: Chick-fil-A: Παραβιάστηκαν λογαριασμοί πελατών
Πώς να εντοπίσετε AI video call scams & Τρόποι προστασίας
Τάφος στην Αίγυπτο περιέχει σπάνια οικογενειακά κοσμήματα
Cybersecurity: Υποχρεωτικό MFA για Google Cloud accounts
Οι ερευνητές της ESET εντόπισαν το MQsTTang στις αρχές Ιανουαρίου 2023 και έκτοτε παραμένει ενεργό. Οι νέες επιθέσεις στοχεύουν κυρίως κυβερνητικές και πολιτικές οντότητες στην Ευρώπη και την Ασία, με κύρια εστίαση στην Ταϊβάν και την Ουκρανία. Η Mustang Panda είναι γνωστό ότι στοχεύει ευρωπαϊκές κυβερνητικές οντότητες τουλάχιστον από το 2020 και έχει αυξήσει ακόμη περισσότερο τη δραστηριότητά της στην Ευρώπη, μετά την εισβολή της Ρωσίας στην Ουκρανία.
Για τη διανομή του κακόβουλου λογισμικού στέλνονται spear-phishing emails στους στόχους. Τα κακόβουλα payloads προέρχονται από GitHub repositories που δημιουργήθηκαν από ένα άτομο που συνδέεται με προηγούμενες επιχειρήσεις της Mustang Panda.
Το κακόβουλο λογισμικό έχει καμουφλαριστεί σε αρχεία RAR, μεταμφιεσμένο έξυπνα με ονόματα διπλωματών και πρεσβειών (σαρώσεις διαβατηρίων, διπλωματικές σημειώσεις) για να αποφύγει τον εντοπισμό.
MQsTTang backdoor
Η ESET χαρακτηρίζει το MQsTTang ως ένα “barebones” backdoor που επιτρέπει στους επιτιθέμενους να εκτελούν εντολές εξ αποστάσεως στο μηχάνημα του θύματος.
“Αυτό το νέο MQsTTang backdoor παρέχει ένα είδος remote shell χωρίς κανένα από τα στοιχεία που σχετίζονται με τις άλλες οικογένειες κακόβουλου λογισμικού της ομάδας αυτής“, αναφέρεται στην έκθεση της ESET.
Δείτε επίσης: Iron Tiger: Δημιουργούν Linux έκδοση του custom malware τους
Κατά την εκκίνηση, το κακόβουλο λογισμικό δημιουργεί ένα αντίγραφο του εαυτού του με ένα command line argument που εκτελεί διάφορες εργασίες, όπως εκκίνηση επικοινωνιών C2, δημιουργία persistence κ.λπ.
Το Persistence καθορίζεται με την προσθήκη ενός νέου registry key στο “HKCU\Software\Microsoft\Windows\CurrentVersion\Run“, το οποίο εκκινεί το κακόβουλο λογισμικό κατά το system startup. Μετά την επανεκκίνηση, εκτελείται μόνο το C2 communication task.
Ένα ασυνήθιστο χαρακτηριστικό αυτού του νέου backdoor είναι η χρήση του πρωτοκόλλου MQTT για την επικοινωνία με τον command and control server. Το MQTT παρέχει στο κακόβουλο λογισμικό ανθεκτικότητα σε C2 takedowns, κρύβει την υποδομή του εισβολέα και καθιστά λιγότερο πιθανό να εντοπιστεί από defenders που αναζητούν πιο συχνά χρησιμοποιούμενα πρωτόκολλα C2.
Για να παραμείνει απαρατήρητο και να αποφύγει τον εντοπισμό, το MQsTTang backdoor ελέγχει για την παρουσία εργαλείων εντοπισμού σφαλμάτων ή εργαλείων παρακολούθησης στον κεντρικό υπολογιστή. Εάν εντοπιστούν τέτοια εργαλεία, αλλάζει τη συμπεριφορά του.
Προς το παρόν, δεν γνωρίζουμε αν το MQsTTang backdoor αναπτύχθηκε για την πραγματοποίηση μιας συγκεκριμένης κακόβουλης εκστρατείας ή αν θα παραμείνει στο “οπλοστάσιο” της Mustang Panda.
Δείτε επίσης: Xάκερ SCARLETEEL: Πώς κλέβουν πηγαίο κώδικα και δεδομένα;
Τα backdoor αποτελούν σοβαρή απειλή για τις επιχειρήσεις όλων των μεγεθών, καθώς επιτρέπουν στους εγκληματίες του κυβερνοχώρου να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητα δεδομένα και συστήματα χωρίς να ενεργοποιούν συναγερμούς στα παραδοσιακά μέτρα ασφαλείας. Η καλύτερη άμυνα κατά αυτού του είδους επίθεσης είναι η πρόληψη που περιλαμβάνει την ενημέρωση των συστημάτων, την τακτική σάρωση για πιθανές απειλές με αξιόπιστα εργαλεία anti-malware και την εκπαίδευση των χρηστών σε σωστές πρακτικές κυβερνοασφάλειας. Αυτά μπορούν να συμβάλουν σε μεγάλο βαθμό στην προστασία της επιχείρησης από κακόβουλους παράγοντες στο διαδίκτυο.
Πηγή: www.bleepingcomputer.com