Η Mustang Panda χρησιμοποιεί νέο malware σε κυβερνητικές επιθέσεις

secnews.gr

IT Security News, Gadgets, Tweaks for Geeks and More

Η Mustang Panda χρησιμοποιεί νέο malware σε κυβερνητικές επιθέσεις
https://www.secnews.gr/617737/mustang-panda-xrisimopoiei-neo-malware-kivernitikes-epitheseis/
Sep 10th 2024, 12:11

Νέες επιθέσεις που αποδίδονται στην ομάδα κυβερνοκατασκοπείας Mustang Panda με έδρα την Κίνα, δείχνουν ότι ο παράγοντας απειλής στράφηκε σε νέες στρατηγικές και νέο malware, που ονομάζονται FDMTP και PTSOCKET, για να κατεβάσει ωφέλιμα φορτία και να κλέψει πληροφορίες από παραβιασμένα δίκτυα.



Δείτε επίσης: Βορειοκορεάτες hackers διανέμουν το COVERTCATCH malware






Οι ερευνητές ανακάλυψαν ότι οι hackers χρησιμοποιούν μια παραλλαγή του worm HIUPAN για να παραδώσουν το PUBLOAD malware stager μέσω αφαιρούμενων μονάδων δίσκου στο δίκτυο.



Η Mustang Panda, (επίσης γνωστή ως HoneyMyte/Broze President/Earth Preta/Polaris/Stately Taurus) είναι μια κινεζική κρατική ομάδα hacking που εστιάζει σε επιχειρήσεις κυβερνοκατασκοπείας εναντίον κυβερνητικών και μη κυβερνητικών φορέων κυρίως στην περιοχή Ασίας-Ειρηνικού, αλλά και σε άλλες περιοχές.



Η Mustang Panda συνήθως χρησιμοποιεί emails spear-phishing για αρχική πρόσβαση, αλλά σε μια έκθεση που δημοσιεύτηκε πρόσφατα, ερευνητές της εταιρείας κυβερνοασφάλειας Trend Micro λένε ότι νέες επιθέσεις από τον παράγοντα απειλών διέδωσαν το PUBLOAD στο δίκτυο μέσω αφαιρούμενων μονάδων δίσκου που έχουν μολυνθεί με μια παραλλαγή του HIUPAN malware.



Το HIUPAN κρύβει την παρουσία του μετακινώντας όλα τα αρχεία του σε έναν κρυφό κατάλογο και αφήνοντας μόνο ένα φαινομενικά νόμιμο αρχείο ("USBConfig.exe") ορατό στη μονάδα δίσκου για να εξαπατήσει τον χρήστη να το εκτελέσει.



Δείτε ακόμα: SpyAgent: Νέο Android malware κλέβει τα recovery phrases των crypto wallets



Το PUBLOAD είναι το κύριο εργαλείο ελέγχου στις επιθέσεις. Εκτελείται στο σύστημα μέσω πλευρικής φόρτωσης DLL, εδραιώνει την επιμονή τροποποιώντας το μητρώο των Windows και στη συνέχεια, εκτελεί ειδικές εντολές αναγνώρισης για να χαρτογραφήσει το δίκτυο.






Εκτός από το PUBLOAD, η Mustang Panda χρησιμοποίησε ένα νέο malware που ονομάζεται FDMTP, το οποίο λειτουργεί ως δευτερεύον εργαλείο ελέγχου. Οι ερευνητές λένε ότι το FDMTP είναι ενσωματωμένο στην ενότητα δεδομένων ενός DLL και μπορεί επίσης να αναπτυχθεί μέσω πλευρικής φόρτωσης DLL.



Σύμφωνα με τους ερευνητές, η συλλογή δεδομένων σε πιο πρόσφατες επιθέσεις Mustang Panda γίνεται σε αρχεία RAR και στόχους .DOC, .DOCX, .XLS, .XLSX, .PDF, .PPT και .PPTX αρχεία από καθορισμένες ημερομηνίες λήξης.



Ο παράγοντας απειλής διεισδύει στις πληροφορίες μέσω PUBLOAD χρησιμοποιώντας το εργαλείο cURL. Ωστόσο, υπάρχει μια εναλλακτική λύση στο προσαρμοσμένο εργαλείο μεταφοράς αρχείων PTSOCKET, μια εφαρμογή που βασίζεται στο TouchSocket μέσω DMTP.



Δείτε επίσης: Νέο Emansrepo malware στοχεύει χρήστες των Windows



Το malware, όπως αυτό που χρησιμοποιεί η Mustang Panda, αναφέρεται σε οποιοδήποτε πρόγραμμα ή κώδικα που έχει σχεδιαστεί σκόπιμα για να διαταράξει, να βλάψει ή να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε συστήματα ή δίκτυα υπολογιστών. Αυτός ο τύπος λογισμικού περιλαμβάνει μια ποικιλία μορφών, συμπεριλαμβανομένων ιών, worms, trojans, ransomware και spyware. Κάθε τύπος λειτουργεί διαφορετικά και έχει διαφορετικούς στόχους, από την κλοπή ευαίσθητων πληροφοριών έως το κλείδωμα των χρηστών από τα συστήματά τους έως ότου πληρωθούν τα λύτρα. Η προστασία από κακόβουλο λογισμικό απαιτεί έναν συνδυασμό ισχυρών μέτρων κυβερνοασφάλειας, ενημερωμένου λογισμικού και εκπαίδευσης των χρηστών για την αναγνώριση πιθανών απειλών και ύποπτων δραστηριοτήτων.



Πηγή: bleepingcomputer



You are receiving this email because you subscribed to this feed at https://blogtrottr.com

If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια