Um agente de ameaças patrocinado pelo estado chinês, conhecido como Mustang Panda, tem como alvo organizações governamentais e pesquisadores de todo o mundo com três variantes de malware hospedadas no Google Drive , Dropbox e si milar cloud storage (abre em uma nova guia) soluções.Os pesquisadores da Trend Micro detectaram recentemente a nova campanha de malware, visando principalmente organizações localizadas na Austrália, Japão, Taiwan, Mianmar e Filipinas.
O Mustang Panda foi iniciado em março de 2022 e durou até pelo menos outubro. Os invasores criariam um e-mail de phishing, enviariam para um endereço falso, mantendo a vítima real em CC. Dessa forma, supõem os pesquisadores, os invasores queriam minimizar as chances de serem detectados por ferramentas antivírus, soluções de segurança de e-mail e similares.
Fornecimento malicioso arquivos
“O assunto do e-mail pode estar vazio ou pode ter o mesmo nome do arquivo malicioso”, afirma o relatório. “Em vez de adicionar os endereços das vítimas ao cabeçalho “Para” do e-mail, os agentes de ameaças usaram e-mails falsos. Enquanto isso, os endereços das vítimas reais foram escritos no cabeçalho “CC”, provavelmente para evitar a análise de segurança e retardar as investigações.”
Outra coisa que eles fizeram para evitar a detecção foi armazenar o malware em soluções legítimas de armazenamento em nuvem, em um arquivo .ZIP ou .RAR, já que essas plataformas geralmente estão na lista de permissões da segurança Ferramentas. No entanto, se a vítima cair no truque, baixar e executar o arquivo compactado, ela obterá esses três tipos de malware personalizados: PubLoad, ToneIns e ToneShell.
PubLoad é um stager, usado para baixar a carga útil do próximo estágio de seu servidor C2. Ele também adiciona novas chaves de registro e tarefas agendadas para estabelecer persistência. ToneIns é um instalador para ToneShell, que é o backdoor principal. Embora o processo possa parecer excessivamente complexo, ele funciona como um mecanismo anti-sandbox, explicaram os pesquisadores, já que o backdoor não será executado em um ambiente de depuração.
A principal tarefa do malware é carregar, baixar e executar arquivos. Ele pode criar shells para troca de dados na intranet ou alterar a configuração do sono, entre outras coisas. O malware ganhou alguns novos recursos recentemente, dizem os pesquisadores, sugerindo que o Mustang Panda está trabalhando duro, melhorando seu kit de ferramentas e se tornando mais perigoso a cada dia.
Através da: BleepingComputer (abre em nova aba)
Sead é um jornalista freelance experiente baseado em Sarajevo, Bósnia e Herzegovina . Ele escreve sobre TI (nuvem, IoT, 5G, VPN) e segurança cibernética (ransomware, violação de dados, leis e regulamentos). Em sua carreira, que se estende por mais de uma década, ele escreveu para vários meios de comunicação, incluindo a Al Jazeera Balkans. Ele também realizou vários módulos sobre redação de conteúdo para a Represent Communications.