Cybersikkerhet

Kinesiske hackere bruker ny skadelig programvare i angrep mot regjeringer

admin september 10, 2024 No Comments

Nye hackerangrep antatt å stamme fra den kinesiske cyberspionasjegruppen Mustang Panda, viser at de har byttet taktikk den senere tiden.

Ny skadelig programvare kalt PTSOCKET og FDMTP brukes for å laste ned og stjele informasjon fra hackede nettverk. Forskere har funnet ut at hackerne bruker en variant av HIUPAN-ormen for å levere PUBLOAD malware gjennom flyttbare stasjoner på nettverket.

Mustang Panda er en kinesisk statssponset hackergruppe. Deres fokus er på nettspionasjeoperasjoner. De målretter seg i hovedsak mot statlige og ikke-statlige organisasjoner i Asia-Stillehavet. Organisasjoner i andre områder er også innenfor området til Mustang Panda. Organisasjonen går også under navnene Stately Taurus, Polaris, Earth Preta, Boze president og HoneyMyte.

Ormbasert angrepskjede

Mustang Panda har vanligvis brukt spear-phising-eposter som den første inngangen, men en rapport fra Trend Micro viser at de har tatt i bruk en annen teknikk. Nye angrep fra trusselaktøren spredte PUBLOAD på nettverket gjennom flyttbare stasjoner infisert med en variant av HIUPAN-ormen.

HIUPAN skjuler sin tilstedeværelse ved å flytte alle filene til en skjult katalog og lar bare en tilsynelatende legitim fil (USBCONFIG.exe) være synlig på stasjonen. Dette lurer brukeren til å kjøre USBCONFIG.exe.

PUBLOAD er hovedkontrollverktøyet i angrepene fra Mustang Panda. Angrepene utføres på systemet gjennom DLL-sidelasting, og det etablerer «utoldenhet» ved å modifisere Windows-registeret. PUBLOAD utfører deretter rekogonoseringsspesifikke kommandoer for å kartlegge nettverket.

I tillegg til PUBLOAD, så brukte Mustang Panda ny skadelig programvare. FDMTP fungerer som et sekundært kontrollverktøy. FDMTP er innebygd i datadelen av DLL. Den kan også distribueres gjennom DLL-sidelasting.

Datainnsamling i nyere Mustang Panda gjøres i RAR-arkiver, .DOC, .DOCX, .XLS, .XLSX, .PDF, .PPT og .PPTX-filer.

Trusselaktøren eksfiltrerer informasjonen gjennom PUBLOAD ved hjelp av cURL-verktøyet. Det finnes et alternativ i det tilpassede PTSOCKET-filoverføringsverktøyet, en implementasjon basert TouchSocket over DMTP.

Spear-phishing-kampanje i juni

I juni observerte forskere en rask spear-phishing-kampanje fra Mustang Panda. DOWNBAIT-nedlasteren hentet et lokkedokument og PULLBAIT-malware. Begge deler kjøres i minnet.

Deretter henter og utfører angriperen bakdøren i det første trinnet som kalles CBROVER. Dette er digitalt signert for å unngå å utløse alarm.

Mustang Panda ble observert ved å bruke PLUGX for å introdusere verktøy some «FILESAC», et verktøy brukt til å samle inn dokumentfiler som .DOC, .XLS, .PDF, .DWG, .PPTX og .DOCX og eksfiltrerer dem.

Trend Micro bemerker at det er en annen eksfiltreringsmetode som sannsynligvis involverer misbruk av Microsoft OneDrive. Forskerne bak rapporten klarte ikke å finne verktøyet som ble brukt til oppgave. Hackergruppen har tidligere blitt sett i å misbruke Google Drive for å introdusere skadelig programvare på offentlige nettverk.

Trend Micro-forskere sier at Mustang Panda eller Earth Preta som de sporer det som, har gjort betydelige framskritt i «utrulling av skadelig programvare og strategier, spesielt i kampanjene deres rettet mot statlige enheter». Eksempelvis militære, politi, utenriksdepartement, velferd, den utøvende makt og utdanning i APAC-regionen.

Hackergruppen fortsetter å være svært aktiv og den nye taktikken indikerer at den fokuserer på «svært målrettede og tidssentive operasjoner».

Vi har skrevet en lang rekke med saker om ulike hackergrupper:

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *