Los investigadores de Trend Micro detallaron una nueva campaña de panda mustang – una APT china que apunta a varias organizaciones gubernamentales en todo el mundo.
Los investigadores notaron lo bien que se está desarrollando el actor de amenazas con el tiempo, con el uso de nuevas puertas traseras que usan sitios de alojamiento de archivos legítimos para evadir la detección y son lo suficientemente sofisticados para realizar sus operaciones. Aquí hay más;
Mustang Panda Nueva Campaña
Mustang Panda, también conocido como el Presidente Bronce o TA416, opera desde marzo de este año en varias partes del mundo. La APT china se ha relacionado con varios ataques en los últimos meses, y los investigadores de Trend Micro publicaron un nuevo informe en su nueva campaña.
Según él, se ve al actor de amenazas apuntando a organizaciones gubernamentales, de investigación y académicas en Australia, Japón, Taiwán, Myanmar y Filipinas. con su malware, alojado en plataformas legítimas de alojamiento de archivos como Google Drive o Dropbox.
Se dice que usan cuentas de Google para enviar correos electrónicos a sus objetivos, con un tema relacionado con cuestiones geopolíticas, ya que la mayoría de ellos (84 %) están dirigidos contra el gobierno o las organizaciones legales.
Los enlaces de malware incrustados se alojan en carpetas de Google Drive o Dropbox, que no suelen ser marcadas por el software de seguridad debido a su buena reputación. Y con varios señuelos, se les pide a los objetivos que descarguen esos archivos comprimidos con extensiones RAR, ZIP o JAR, que se descomprimen solos como ToneShell, ToneIns, y PubLoad.
Mientras se desempaqueta, el malware muestra un documento señuelo en la pantalla para evitar sospechas mientras ejecuta su proceso en segundo plano. Mientras que los investigadores de Cisco anotado PubLoad en su documentación anterior de mayo de 2022, en la última se encuentra la existencia de ToneShell y ToneIns.
El uso de ToneShell o Tonelns define el nivel de sofisticación de los actores de amenazas. ya que contienen código ofuscado, mecanismos anti-análisis y otros para evitar su detección.
Además, los actores de amenazas en la última campaña están enviando correos electrónicos a los objetivos al dirigirse a ellos en el espacio CC, en lugar de los campos Para, donde se realizan la mayoría de las investigaciones en caso de una escena de ataque. Todo esto define que Mustang Panda está trabajando activamente en mejorar su herramienta.
Una vez instalado en el sistema de destino, TonoShellla puerta trasera inteligente asignará una identificación de víctima para que el actor de amenazas la rastree y espera las instrucciones. Estos incluyen cargar, descargar y ejecutar archivos, crear shells para el intercambio de datos de intranet, cambiar la configuración de suspensión y más.
Los investigadores notaron que los TTP de esta campaña se alinean con los de la informe de trabajo seguro de septiembre de 2022, que siguió una campaña anterior de Mustang Panda.
