Címke: Dárda-Phishing

A Mustang Panda Kibertámadásai: Feszültségek a Fülöp-szigeteki Kormány és Dél-Kína Között

A Mustang Panda Hackerek: Feszültségek a Fülöp-szigeteki Kormány és a Dél-kínai-tenger Között A Mustang Panda, Kínával kapcsolatba hozható hackercsoport, a Fülöp-szigeteki kormányzati intézményeket támadta meg, kihasználva a Dél-kínai-tengeren zajló területi vitákat. A Palo Alto Networks Unit 42 szerint a csoport 2023 augusztusában három kampányt indított, amelyek elsődlegesen a Dél-Csendes-óceáni régió szervezeteire irányultak.

Ezek a támadások olyan hitelesnek tűnő szoftvereket használtak, mint a Solid PDF Creator és a SmadavProtect (egy indonéz antivírus megoldás), hogy rosszindulatú fájlokat töltsenek fel a célpontok rendszereibe. A csoport rafináltan manipulálta ezeket a szoftvereket, hogy Microsoft forgalmat imitáljanak, ezzel biztosítva a parancs-és-vezérlés (C2) kapcsolatokat.

A Mustang Pandát több néven is ismerik, köztük Bronz Előlnök, Camaro Sárkány, Föld Preta, RedDelta és Állami Taurus néven, és mint egy kínai fejlett állandó fenyegetést (APT) jelentő csoportot azonosítják, amely 2012 óta aktív kiberspionázs kampányokat folytat a világ számos pontján.

2023 szeptemberében a Unit 42 a csoportot egy délkelet-ázsiai kormány elleni támadásokkal is összefüggésbe hozta, amelyek a TONESHELL hátsó ajtó egy változatának terjesztésével kapcsolatosak voltak.

A csoport legutóbbi támadásai dárda-phishing e-mailekkel kezdődtek, amelyek rosszindulatú ZIP archívumokat szállítottak, tartalmazva egy rosszindulatú dinamikus kapcsolódó könyvtárat (DLL). A támadás célja egy távoli szerverrel való kapcsolatfelvétel volt, amelynek során kompromittálták a Fülöp-szigeteki kormányzati entitásokat egy ötnapos időszak alatt, 2023. augusztus 10. és 15. között.

A Mustang Panda hírhedt a SmadavProtect program használatáról, amelyet a biztonsági megoldások kijátszására fejlesztettek ki. „Állami Taurus továbbra is bizonyítja a hatékony és tartós kiberspionázs műveletek végrehajtásában való jártasságát, mint az egyik legaktívabb kínai APT,” jegyezték meg a kutatók.

Az esetek globális célpontjai összhangban állnak a kínai kormány geopolitikai érdeklődési körével. A felfedezés egyidejűleg történt egy dél-koreai APT csoport, a Higaisa aktivitásának feltárásával, amely kínai felhasználókat célozott meg, OpenVPN-hez hasonló adathalász weboldalakon keresztül.

„Ezek a támadások Rust alapú kártékony szoftvereket telepítettek és futtattak a rendszereken, aktiválva egy shellcode-ot,” tájékoztatott a Cyble. „A shellcode anti-debugging és dekódoló műveleteket hajt végre, majd titkosított parancs-és-vezérlés (C&C) kommunikációt hoz létre a távoli fenyegető szereplővel.”