Rus yetkilileri hedefleyen bir kimlik avı kampanyasını analiz eden güvenlik araştırmacıları, Mustang Panda (Honeymyte ve Bronze Başkanı olarak da bilinir) olarak izlenen Çin merkezli tehdit aktörüne işaret eden kanıtlar buldular.
Tehdit grubu daha önce Rus Ukrayna istilasından esinlenen kimlik avı yemini kullanan Avrupa hedeflerine karşı istihbarat toplama kampanyalarını düzenledi.
İki ülke genellikle iyi jeopolitik ilişkileri sürdürdüğü için Rusya, sınırlı ölçekte de olsa tehdit grubunun artı işaretinde kaldı.
Bugünkü bir raporda, siber güvenlik şirketi SecureWorks, daha önce düşünüldüğü kadar sınırlı olmayabilecek bu hedeflemenin yeni kanıtlarını sunuyor.
Tehdit oyuncusu, Belarus'a karşı yaptırım detayları içeren Avrupa Birliği tarafından yayınlanan İngilizce belgelerine dayanan kimlik avı yemini kullanıyor.
Gönderilen dosyalar Windows Yürütülebilir (.exe) olmasına rağmen, PDF'ler olarak görünmektedir ve Çin, Blagoveshchensk sınırına yakın bir Rus şehrinin adını almıştır.
Bu, bu kampanyanın hedeflerinin bölgedeki Rus personeli olduğunu ve bu da Çin'in yeni istihbarat toplama hedeflerine geçebileceği teorisini daha da desteklediğini gösteriyor.
Yürütülebilir dosyayı başlattıktan sonra, daha önce bahsedilen Decoy AB belgesi, kötü amaçlı bir DLL yükleyici, şifreli bir Plugx varyantı ve dijital olarak imzalanmış bir .exe dosyası dahil olmak üzere bir dizi ek dosya getirilir.
DLL Loader, bu hileye karşı savunmasız olan meşru bir imzalı dosya (İngiltere tabanlı Global Graphics Software Ltd'den) kullanılarak DLL arama sırası kaçırma gerçekleştirir. Mustang Panda için tipik yöntem, Plugx kötü amaçlı yazılım yükünü yürütmek için kullanılır.
Bu yaklaşım, tehdit aktörlerinin kötü niyetli Docconvdll.dll DLL yükleyicilerini sistemdeki güvenlik çözümlerini tetiklemeyen gizli bir şekilde yüklemelerini sağlar.
DLL yükleyici sekiz işlevi dışa aktarır, ancak bunlardan sadece bir tanesi ilgili talimatlarla birlikte gelir. Görünüşe göre bu otomatik analizden kaçmak için.
'CreateSystemFontSusingEdl' işlevi, Plugx yükü olan Fontlog.dat dosyasını yükler, şifresini çözer ve yürütür.
SecureWorks tarafından analiz edilen Plugx örneği bozulmuş olmasına rağmen, kodu yeni oluşturulan bir dizinin içinden DLL yan yükleme ve kötü amaçlı yazılım yürütmeye işaret ediyor, "C: \ ProgramData \ Fuji Xerox \ Fonts \".
Bu kampanyada kullanılan evreleme sunucusu, AB Diplomats kampanyasını destekleyen ve aynı zamanda bu operasyonda rol oynayan Zyber-I [.] COM alanına ev sahipliği yapanla aynıdır.
PlugX'in bu kötü amaçlı yazılımlara dayalı ilişkilendirmenin imkansız olduğunu pek çok rakip tarafından kullanıldığını belirtmek gerekir.
Bununla birlikte, Secureworks bu kampanyayı geçmişte bu aktöre atfedilen kullanılan altyapıya dayanarak bronz Başkan/Mustang Panda'ya bağladı.
Mustang Panda aynı kötü amaçlı yazılım suşlarını ve yükleyici araçlarını kullanmaya devam etmesine rağmen ve altyapısının bir kısmı geçmiş kampanyalarla örtüşmesine rağmen, tehdit oyuncusu nispeten gizli ve güçlü kalıyor.
Odak noktası, mızrak aktı yemini yeniliyor ve çok dar hedefleme işlemleri için özel e-posta mesajları hazırlıyor gibi görünüyor, bu nedenle istihbarat koleksiyonu sürekli değişiyor.
Şimdilik, e -posta ve ağ savunması için sağlanan uzlaşma göstergelerini kullanmak, tehdit oyuncunun enfeksiyon girişimlerinin çoğunu etkisiz hale getirecektir.
Yeni Mustang Panda Hacking Kampanyası Diplomatları Hedefliyor, ISS'ler
Çin kimlik avı aktörleri sürekli olarak AB diplomatlarını hedefliyor
Google: Rusya, Çin, Belarus Eyalet Hackers Hedef Ukrayna, Avrupa
Rus Govt Taklitçileri kimlik avı saldırılarında telkosları hedefleyin
Ukrayna: Rus Armageddon Kimlik Yardım Hedefleri AB Hükümet Ajansları
Kaynak: Bleeping Computer