Kecerdasan Data Generatif

Keamanan Siber

Di Tengah Peningkatan Militer, Tiongkok Kerahkan Mustang Panda di Filipina

Diterbitkan ulang oleh Plato
Diterbitkan ulang oleh Plato

Tanggal:

views: 0

Selama peningkatan kekuatan militer yang dramatis di Laut Cina Selatan pada musim panas ini, ancaman persisten tingkat lanjut (APT) yang terkait dengan negara Tiongkok berhasil mengkompromikan entitas dalam pemerintahan Filipina dengan menggunakan teknik sideloading yang sangat sederhana.

Pelakunya, Mustang Panda โ€“ yang dikenal dengan nama Bronze President, Camaro Dragon, Earth Preta, Luminous Moth, Red Delta, dan dilacak oleh Unit 42 Palo Alto Networks sebagai Stately Taurus โ€“ telah memata-matai pemerintahan tingkat tinggi dan organisasi yang berdekatan dengan pemerintah melalui Web setidaknya sejak 2012.

Dalam satu kasus baru-baru ini, diuraikan oleh Unit 42 pada 17 November, kelompok tersebut melakukan tiga kampanye serupa terhadap organisasi-organisasi di Pasifik Selatan, termasuk satu kampanye yang berhasil mencapai kompromi selama lima hari terhadap organisasi pemerintah Filipina.

TTP Sederhana Mustang Panda

Dimulai pada awal Agustus, saat penjaga pantai Tiongkok memblokir dan menembakkan meriam air di kapal pemasok Filipina, kedua negara Pasifik Selatan tersebut terlibat dalam melodrama yang semakin serius selama berbulan-bulan sering terlihat di Laut Cina Selatan.

Tampaknya, selama pertemuan militer, para peretas Tiongkok secara bersamaan menyerang organisasi-organisasi Filipina di dunia maya.

Selama paruh pertama bulan ini, Mustang Panda Tiongkok melakukan tiga serangan di Pasifik Selatan yang, terlepas dari beberapa perbedaan kecil, sebagian besar mengikuti pedoman yang sama.

Masing-masing dimulai dengan file ZIP. โ€œKami biasanya melihat pelaku menghosting file berbahaya mereka dengan penyedia penyimpanan cloud dan kemudian membujuk korban untuk mengeklik tautan, sering kali ke platform penyimpanan tepercaya dalam email phishing untuk mengunduh file tersebut,โ€ kata Pete Renals, manajer senior di Unit 42 di Palo Alto Networks. . Misalnya, โ€œuntuk kampanye pertama, file ditemukan dihosting di Google Drive untuk diunduh.โ€

Paket malware tersebut akan diberi nama yang terdengar sah, seperti โ€œNUG's Foreign Policy Strategy.zip.โ€ Setelah diekstraksi, itu hanya akan menampilkan satu file EXE dengan nama yang terdengar sama sahnya seperti โ€œLabour Statement.exe.โ€

File tersebut tidak lebih dari salinan nama Solid PDF Creator, sebuah aplikasi sah untuk mengonversi dokumen ke PDF. Triknya adalah meluncurkan aplikasi akan melakukan sideload file kedua โ€” pustaka tautan dinamis (DLL), yang tersembunyi di dalam ZIP asli. DLL akan memberi penyerang titik di mana mereka dapat menetapkan perintah dan kendali (C2).

Berurusan Dengan Mustang Panda

Sepanjang bulan Agustus, Mustang Panda melakukan spionase dari salah satu alamat IP diketahui yang berbasis di Malaysia. Ia secara halus berusaha untuk menutupi lalu lintas jahatnya dengan meniru domain Microsoft, โ€œwcpstatic.microsoft[.]com.โ€

Beberapa komunikasi jahat semacam itu dikirimkan antara alamat IP yang dipermasalahkan dan entitas pemerintah Filipina, antara periode 10-15 Agustus. Data pasti yang mungkin telah ditransfer pada periode tersebut, atau dalam serangan bulan Agustus yang terkait, masih belum diketahui.

Meskipun taktik Mustang Panda mungkin tampak sederhana pada awalnya, Renals memperingatkan bahwa taktik tersebut masih efektif, dan organisasi masih perlu berhati-hati.

โ€œAPT yang menggunakan sideloading DLL untuk mengirimkan malware bukanlah hal baru atau baru. Namun, penggunaan teknik ini secara terus-menerus oleh aktor-aktor Stately Taurus, dikombinasikan dengan tingkat deteksi minimal di seluruh platform seperti VirusTotal, menunjukkan bahwa teknik ini terus menjadi alat yang efektif dalam mendukung operasi mereka,โ€ simpulnya.

tempat_img

Intelijen Terbaru

tempat_img

Hak Cipta @ 2024 Plato Technologies Inc.