L’attore della minaccia collegata alla Cina noto come Mustang Panda è stato attribuito a un attacco informatico mirato a un’organizzazione non specificata in Myanmar con strumenti precedentemente non segnalati, evidenziando gli sforzi continui degli attori delle minacce per aumentare la raffinatezza e l’efficacia del loro malware.
Ciò embody le versioni aggiornate di una backdoor conosciuta chiamata Tonshellnonché un nuovo strumento di movimento laterale soprannominato StarProxy, due keyloggers in codice Paklog, Corklog e un driver di evasione di rilevamento e risposta endpoint (EDR) denominato come denominato denominato Splatcloak.
“Toneshell, un backdoor utilizzato da Mustang Panda, è stato aggiornato con le modifiche al suo protocollo di comunicazione FAKETLS Command-and-Management (C2), nonché ai metodi per la creazione e la memorizzazione di identificatori dei clienti”, ha affermato il ricercatore di Zscaler minaccia di Minaccetta in due parti analisi.
Mustang Panda, noto anche come bacino, presidente del bronzo, Camaro Dragon, Earth Preta, Honeymyte e Reddelta, è attivo un attore di minaccia con sponsorizzazione dallo stato allineato in Cina almeno dal 2012.
Noto per i suoi attacchi a governi, entità militari, gruppi di minoranza e organizzazioni non governative (ONG) principalmente nei paesi situati nell’Asia orientale e, in misura minore in Europa, il gruppo ha una storia di Sfruttare DLL laterale DLL Tecniche per fornire il malware plugx.
Tuttavia, dalla superb del 2022, le campagne orchestrate da Mustang Panda hanno iniziato a consegnare frequentemente una famiglia di malware su misura chiamata Tonshellche è progettato per scaricare i payload in fase successiva.
Zscaler ha detto di aver scoperto tre nuove varianti del malware che hanno diversi livelli di raffinatezza –
- Variante 1che funge da semplice guscio inverso
- Variante 2che embody funzionalità per scaricare DLL dal C2 ed eseguirli iniettando la DLL in processi legittimi (advert es. Svchost.exe)
- Variante 3che embody funzionalità per scaricare file e creare un sottoprocesso per eseguire comandi ricevuti da un server remoto tramite un protocollo basato su TCP personalizzato
Un nuovo software program associato a Mustang Panda è StarProxy, che viene lanciato tramite caricamento laterale DLL ed è progettato per sfruttare il protocollo FAKETLS per il traffico proxy e facilitare le comunicazioni degli attaccanti.
“Una volta attivo, StarProxy consente agli aggressori di fare il traffico tra i dispositivi infetti e i loro server C2. StarProxy raggiunge questo problema utilizzando le prese TCP per comunicare con il server C2 tramite il protocollo FAKETLS, crittografando tutti i dati scambiati con un algoritmo di criticamento basato su Xor”, ha detto Singh.
“Inoltre, lo strumento utilizza gli argomenti della riga di comando per specificare l’indirizzo IP e la porta per la comunicazione, consentendo agli aggressori di trasmettere i dati attraverso macchine compromesse.”
 |
| Attività StarProxy |
Si ritiene che StarProxy sia distribuito come strumento post-compromesso per accedere alle stazioni di lavoro interne all’interno di una rete che non sono direttamente esposte a Web.
Sono inoltre identificati due nuovi keylogger, Paklog e Corklog, che vengono utilizzati per monitorare i tasti e i dati degli appunti. La differenza principale tra i due è che quest’ultimo memorizza i dati acquisiti in un file crittografato utilizzando una chiave RC4 di 48 caratteri e implementa i meccanismi di persistenza creando servizi o compiti programmati.
Entrambi i keylogger mancano di capacità di esfiltrazione di dati propri, il che significa che esistono esclusivamente per raccogliere i dati di sequestro e scriverli in una posizione specifica e che l’attore delle minacce utilizza altri metodi per trasmetterli alla loro infrastruttura.
Cambiare le nuove aggiunte al malware Arsenal di Mustang Panda è Splatcloak, un driver di kernel di Home windows distribuito da SplatDropper che è equipaggiato per disabilitare le routine correlate all’EDR implementate da Home windows Defender e Kaspersky, permettendolo così di volare sotto il radar.
“Mustang Panda dimostra un approccio calcolato per raggiungere i loro obiettivi”, ha detto Singh. “Aggiornamenti continui, nuovi strumenti e offuscamento a strati prolunga la sicurezza operativa del gruppo e migliora l’efficacia degli attacchi.”
UNC5221 rilascia nuove versioni di Brickstorm Goal Home windows
La divulgazione arriva quando il cluster di spionaggio informatico cinese-segato chiamato UNC5221 è stato collegato Per utilizzare una nuova versione del malware di brickstorm in attacchi rivolti agli ambienti di Home windows in Europa da almeno il 2022, secondo la società cybersecurity belga Nviso.
Tempesta di mattoni, Primo documentato L’anno scorso In relazione allo sfruttamento zero-day di Ivanti Join Safe Vulnerabilities zero-Day (CVE-2023-46805 e CVE-2024-21887) contro la Miter Company, è un backdoor Golang distribuito su server Linux che eseguono VMware vCenter.
“Supporta la possibilità di impostarsi come server Internet, eseguire la manipolazione del file system e della listing, eseguire operazioni di file come caricamento/obtain, eseguire comandi shell ed eseguire i calzini inoltrando”, Google Mandiant disse Nell’aprile 2024. “Brickstorm comunica su Websocket a un C2 con codice duro.”
I nuovi artefatti di Home windows identificati, anche scritti in GO, forniscono agli aggressori funzionalità di tunneling di file supervisor e di rete tramite un pannello, consentendo loro di sfogliare il file system, creare o eliminare i file e le connessioni di rete a tunnel per il movimento laterale.
Risolvono anche i server C2 tramite DNS-Over-HTTPS (Doh) e sono progettati per eludere le difese a livello di rete come il monitoraggio DNS, l’ispezione TLS e il blocco geo.
“I campioni di Home windows (..) non sono dotati di funzionalità di esecuzione dei comandi”, ha detto Nviso. “Invece, gli avversari sono stati osservati utilizzando le capacità di tunneling di rete in combinazione con credenziali valide per abusare di protocolli noti come RDP o SMB, ottenendo così un’esecuzione di comandi simile.”
