Ερευνητές ασφαλείας αποκάλυψαν την εγκατάσταση του ToneShell malware, που αποδίδεται στην ομάδα κατασκοπείας Mustang Panda, η οποία υποστηρίζεται από την Κίνα και είναι γνωστή για την στοχοποίηση κυβερνητικών φορέων, στρατιωτικών οργανισμών και μη κυβερνητικών οργανώσεων, κυρίως στην Ανατολική Ασία και την Ευρώπη.
Δείτε επίσης: Οι Κινέζοι hackers Mustang Panda καταχρώνται το MAVInject.exe
Η Mustang Panda έχει παρατηρηθεί να χρησιμοποιεί επιβλαβή αρχεία RAR που περιλαμβάνουν κακόβουλες βιβλιοθήκες DLL, σε συνδυασμό με νόμιμα, υπογεγραμμένα εκτελέσιμα αρχεία, με σκοπό την εγκατάσταση ανανεωμένων παραλλαγών του ToneShell malware μέσω τεχνικών DLL sideloading. Η επίθεση ξεκινά όταν τα θύματα αποσυμπιέζουν και εκτελούν λογισμικό που φαίνεται νόμιμο από αρχεία RAR.
Αυτά τα αρχεία RAR συνήθως περιλαμβάνουν ένα νόμιμο, υπογεγραμμένο εκτελέσιμο αρχείο σε συνδυασμό με ένα κακόβουλο αρχείο DLL, το οποίο φορτώνεται μέσω sideloading κατά την εκτέλεση του εκτελέσιμου. Η συγκεκριμένη τεχνική επιτρέπει την παράκαμψη των μηχανισμών ασφαλείας, αξιοποιώντας την εμπιστοσύνη που συνοδεύει τα ψηφιακά υπογεγραμμένα εκτελέσιμα, ενώ παράλληλα εκτελεί κακόβουλο κώδικα.
Οι στόχοι της Mustang Panda περιλαμβάνουν κυρίως φορείς που σχετίζονται με την κυβέρνηση στην Ανατολική Ασία, με πρόσφατα στοιχεία να δείχνουν ενεργές καμπάνιες κατά οργανισμών στη Μιανμάρ.
Η Mustang Panda συνεχίζει να εξελίσσει το οπλοστάσιό της, με τους ερευνητές να εντοπίζουν πολλαπλές παραλλαγές του ToneShell malware που αναπτύσσονται σε διαφορετικούς στόχους, με κάθε μία να παρουσιάζει λεπτές τροποποιήσεις προκειμένου να αποφεύγεται η ανίχνευση από τα συστήματα ασφαλείας.
Δείτε ακόμα: Η Mustang Panda χρησιμοποιεί τα PUBLOAD και HIUPAN malware σε επιθέσεις
Οι ερευνητές της Zscaler ThreatLabz εντόπισαν τρεις διακριτές παραλλαγές του ToneShell κατά την έρευνά τους, οι οποίες χρησιμοποιούν διαφορετικά νόμιμα εκτελέσιμα αρχεία για την τεχνική DLL sideloading.
Η πρώτη παραλλαγή βρέθηκε σε αρχείο με την ονομασία “cf.rar” και περιείχε το “mrender.exe” και το κακόβουλο “libcef.dll”. Η δεύτερη εντοπίστηκε στο “ru.zip” με τα αρχεία “FastVD.exe” και “LogMeIn.dll”. Η τρίτη παραλλαγή ανακαλύφθηκε στο “zz.rar”, το οποίο περιείχε τα “gpgconf.exe” και “libgcrypt20.dll”.
Ο μηχανισμός μόλυνσης με το νέο ToneShell malware, βασίζεται σε μεγάλο βαθμό στην τεχνική του DLL sideloading που χρησιμοποιεί η Mustang Panda, κατά την οποία τα Windows φορτώνουν ένα κακόβουλο DLL αντί για το νόμιμο, εκμεταλλευόμενα τη σειρά αναζήτησης DLL του συστήματος.
Όταν το θύμα εκτελεί τη νόμιμη εφαρμογή, τα Windows προσπαθούν να φορτώσουν τις απαραίτητες βιβλιοθήκες DLL και, χωρίς να το αντιληφθούν, φορτώνουν το κακόβουλο DLL που βρίσκεται δίπλα στο εκτελέσιμο αρχείο.
Η προσέγγιση αυτή είναι ιδιαίτερα αποτελεσματική, καθώς δίνει την εντύπωση ότι εκτελείται κανονικό λογισμικό, ενώ στην πραγματικότητα εκτελείται και κακόβουλος κώδικας ταυτόχρονα.
Δείτε επίσης: Κινέζοι hackers συνεργάζονται για κυβερνοκατασκοπεία
Η τεχνική του DLL sideloading αποτελεί μια ευρέως χρησιμοποιούμενη μέθοδο από προηγμένες ομάδες κυβερνοκατασκοπείας (APT groups), καθώς τους επιτρέπει να αποκρύπτουν τις κακόβουλες ενέργειές τους μέσα σε φαινομενικά νόμιμες διεργασίες του συστήματος. Ομάδες όπως η Mustang Panda δεν βασίζονται μόνο σε ένα στατικό κακόβουλο φορτίο — τροποποιούν συνεχώς τον κώδικά τους για να αποφύγουν τις υπογραφές ανίχνευσης και να παραμείνουν «αόρατες» για μεγαλύτερο χρονικό διάστημα στα συστήματα των θυμάτων.
Πηγή: cybersecuritynews
