Generatiivinen tiedustelu

Cyber ​​Security

Sotilaallisen rakentamisen keskellä Kiina ottaa käyttöön Mustang Pandan Filippiineillä

Jälleen julkaissut Platon
Jälleen julkaissut Platon

Treffi:

Luettu: 0

Tänä kesänä Etelä-Kiinan merellä tapahtuneen dramaattisen sotilaallisen lisääntymisen aikana Kiinan valtioon sidottu kehittynyt jatkuva uhka (APT) onnistui vaarantamaan Filippiinien hallituksen sisällä olevan kokonaisuuden käyttämällä erittäin yksinkertaista sivulataustekniikkaa.

Syyllinen Mustang Panda – joka tunnetaan eri nimillä Bronze President, Camaro Dragon, Earth Preta, Luminous Moth, Red Delta ja jota Palo Alto Networksin Unit 42 jäljittää nimellä Stately Taurus – on vakoillut korkean profiilin hallitus ja hallituksen naapurijärjestöt verkossa ainakin vuodesta 2012 lähtien.

Eräässä viimeaikaisessa tapauksessa Unit 42 hahmotteli 17. marraskuuta, ryhmä toteutti kolme samanlaista kampanjaa Etelä-Tyynenmeren järjestöjä vastaan, joista yksi johti onnistuneeseen viiden päivän kompromissiin Filippiinien hallitusorganisaatiosta.

Mustang Pandan yksinkertaiset TTP:t

Alkaen elokuun alussa, kun Kiinan rannikkovartiosto tukkeutuneita ja ammuttuja vesitykkejä Filippiinien huoltoaluksilla kaksi eteläisen Tyynenmeren valtiota osallistuivat kuukausien mittaiseen, yhä vakavampaan melodraamaan. nähdään usein Etelä-Kiinan merellä.

Näyttää siltä, ​​että sotilaallisen tête-à-têten aikana Kiinan hakkerit hyökkäsivät samanaikaisesti Filippiinien organisaatioita vastaan ​​kyberavaruudessa.

Kuukauden ensimmäisen puoliskon aikana kiinalainen Mustang Panda teki kolme hyökkäystä Etelä-Tyynenmeren alueella, jotka muutamaa pientä eroa lukuun ottamatta noudattivat pitkälti samaa pelikirjaa.

Jokainen alkoi ZIP-tiedostolla. "Näemme yleensä näyttelijöiden isännöivän haitallisia tiedostojaan pilvitallennuspalvelujen tarjoajien kanssa ja houkuttelevat sitten uhrit napsauttamaan linkkiä, usein luotettavalle tallennusalustalle tietojenkalasteluviestissä ladatakseen tiedostot", toteaa Pete Renals, Palo Alto Networksin yksikön 42 vanhempi johtaja. . Esimerkiksi "ensimmäisen kampanjan tiedostot todettiin Google Drivessa ladattavaksi."

Haittaohjelmapaketille annettaisiin oikea kuulostava nimi, kuten "NUG's Foreign Policy Strategy.zip". Kun se on purettu, se paljastaisi vain yhden EXE-tiedoston, jolla on samalla lailla kuulostava nimi, kuten "Labour Statement.exe".

Tiedosto ei olisi muuta kuin uudelleennimetty kopio Solid PDF Creatorista, laillisesta sovelluksesta asiakirjojen muuntamiseen PDF-tiedostoiksi. Temppu oli, että sovelluksen käynnistäminen ladaisi sivulle toisen tiedoston - dynaamisen linkkikirjaston (DLL), joka oli piilotettu alkuperäisen ZIP-tiedoston sisään. DLL antaisi hyökkääjille pisteen, johon he voivat muodostaa komento- ja hallinnan (C2).

Mustang Pandan tekeminen

Mustang Panda suoritti vakoiluaan elokuun ajan yhdestä tunnetuista Malesiassa sijaitsevasta IP-osoitteestaan. Se yritti varovasti peittää haitallisen liikenteensä matkimalla Microsoftin toimialuetta "wcpstatic.microsoft[.]com".

Kyseisen IP-osoitteen ja Filippiinien hallituksen välillä lähetettiin useita tällaisia ​​haitallisia viestejä 10.-15. elokuuta välisenä aikana. Tarkat tiedot, jotka on saatettu siirtää kyseisenä ajanjaksona tai missä tahansa siihen liittyvässä elokuun hyökkäyksessä, ovat edelleen tuntemattomia.

Vaikka Mustang Pandan taktiikka saattaa aluksi tuntua alkeelliselta, Renals varoittaa, että ne ovat edelleen tehokkaita, ja organisaatioiden on silti oltava varovaisia.

"APT:t, jotka käyttävät DLL-sivulatausta haittaohjelmien toimittamiseen, eivät ole uusia tai uusia. Kuitenkin tämän tekniikan jatkuva käyttö komeiden Taurus-toimijoiden toimesta yhdistettynä minimaaliseen havaitsemisasteeseen eri alustoilla, kuten VirusTotal, osoittaa, että tämä tekniikka on edelleen tehokas työkalu, joka mahdollistaa heidän toiminnan", hän päättää.

spot_img

Uusin älykkyys

spot_img

Tekijänoikeus @ 2024 Plato Technologies Inc.