Un acteur menaçant parrainé par l'État chinois connu sous le nom de Mustang Panda cible les organisations gouvernementales et les chercheurs du monde entier avec trois variantes de logiciels malveillants hébergées sur Google Drive, Dropbox et des solutions de stockage en nuage similaires (ouvre dans un nueva pestaña).
Los investigadores de Trend Micro detectaron recientemente la nueva campaña de malware, dirigida principalmente a organizaciones ubicadas en Australia, Japón, Taiwán, Myanmar y Filipinas.
Mustang Panda se lanzó en marzo de 2022 y duró al menos hasta octubre. Los atacantes crearían un correo electrónico de phishing, lo enviarían a una dirección falsa, mientras copiaban a la víctima real. De esta forma, suponen los investigadores, los atacantes querían minimizar los riesgos de ser detectados por herramientas antivirus, soluciones de seguridad de correo electrónico, etc.
Entregar archivos maliciosos
"El asunto del correo electrónico puede estar vacío o tener el mismo nombre que el archivo malicioso", dice el informe. "En lugar de agregar las direcciones de las víctimas al encabezado 'Para' del correo electrónico, los atacantes usaron correos electrónicos falsos. Mientras tanto, las direcciones de las víctimas reales se escribieron en el encabezado 'CC', lo que puede evadir el análisis de seguridad y ralentizar investigaciones".
Otra cosa que hicieron para evitar la detección fue almacenar malware en soluciones legítimas de almacenamiento en la nube, en un archivo .ZIP o .RAR, ya que estas plataformas suelen estar incluidas en la lista blanca de las herramientas de seguridad de malware. Sin embargo, si la víctima cayó en la trampa, descargó y ejecutó el archivo comprimido, obtendría estas tres cepas de malware personalizadas: PubLoad, ToneIns y ToneShell.
PubLoad es un organizador de etapas, que se utiliza para descargar la carga útil de la siguiente etapa desde su servidor C2. También agrega nuevas claves de registro y tareas programadas para establecer la persistencia. ToneIns es un instalador de ToneShell, que es la puerta trasera principal. Aunque el proceso puede parecer demasiado complejo, funciona como un mecanismo anti-sandboxing, explicaron los investigadores, porque la puerta trasera no se ejecutará en un entorno de depuración.
El trabajo principal del malware es cargar, descargar y ejecutar archivos. Puede crear shells para el intercambio de datos de intranet o modificar la configuración de suspensión, entre otras cosas. El malware ha recibido recientemente algunas características nuevas, según los investigadores, lo que sugiere que Mustang Panda está trabajando duro, mejorando su conjunto de herramientas y volviéndose más peligroso cada día.
Через: BleepingComputer (открывается в новой вкладке)