De in China gevestigde dreigingsacteur bekend als Mustang-panda Er wordt vermoed dat het het Ministerie van Defensie en Buitenlandse Zaken van Myanmar heeft aangevallen als onderdeel van dubbele campagnes die zijn ontworpen om achterdeurtjes en trojans voor externe toegang in te zetten.
De bevindingen zijn afkomstig van CSIRT-CTI, waarin staat dat de activiteiten plaatsvonden in november 2023 en januari 2024 nadat artefacten in verband met de aanvallen waren geüpload naar het VirusTotal-platform.
“De meest prominente van deze TTP’s is het gebruik van legitieme software, waaronder een binair bestand ontwikkeld door ingenieursbureau Bernecker & Rainer (B&R) en een onderdeel van de Windows 10-upgradeassistent om kwaadaardige dynamic-link-bibliotheken (DLL’s) te sideloaden,” CSIRT-CTI gezegd.
Mustang Panda, actief sinds minstens 2012, wordt ook erkend door de cybersecuritygemeenschap onder de namen BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus en TEMP.Hex.
De afgelopen maanden werd de tegenstander toegeschreven aan aanvallen gericht op een niet bij naam genoemde Zuidoost-Aziatische regering en op de Filippijnen om achterdeurtjes te creëren die gevoelige informatie konden verzamelen.
De infectiereeks van november 2023 begint met een phishing-e-mail met een boobytraps ZIP-archiefbijlage met daarin een legitiem uitvoerbaar bestand (“Analyse van de derde bijeenkomst van NDSC.exe”) dat oorspronkelijk is ondertekend door B&R Industrial Automation GmbH en een DLL-bestand (“BrMod104 .dll”).
De aanval maakt gebruik van het feit dat het binaire bestand gevoelig is voor het kapen van DLL-zoekopdrachten om de frauduleuze DLL aan de zijkant te laden en vervolgens persistentie en contact met een command-and-control (C2)-server tot stand te brengen en een bekende achterdeur op te halen genaamd PUBLOAD, die , op zijn beurt, fungeert als een aangepaste lader om het PlugX-implantaat te laten vallen.
‘De dreigingsactoren proberen de bedreiging te verhullen [C2] verkeer terwijl Microsoft het verkeer bijwerkt door de headers ‘Host: www.asia.microsoft.com’ en ‘User-Agent: Windows-Update-Agent’ toe te voegen”, merkte CSIRT-CTI op, een weerspiegeling van een campagne uit mei 2023, onthuld door Lab52.
Aan de andere kant maakt de tweede campagne die eerder deze maand werd waargenomen gebruik van een optische schijfimage (“ASEAN Notes.iso”) met LNK-snelkoppelingen om een meerfasig proces te activeren dat een andere op maat gemaakte lader gebruikt, genaamd TONESHELL, om PlugX waarschijnlijk te implementeren vanaf een nu- ontoegankelijke C2-server.
Het is vermeldenswaard dat een soortgelijke aanvalsketen die aan de Mustang Panda wordt toegeschreven, eerder in februari 2023 door EclecticIQ werd ontdekt bij inbraken gericht op overheids- en publieke organisaties in Azië en Europa.
“Naar aanleiding van de rebellenaanvallen in het noorden van Myanmar [in October 2023]China heeft zijn bezorgdheid geuit over de gevolgen ervan voor de handelsroutes en de veiligheid rond de grens tussen Myanmar en China”, aldus CSIRT-CTI.
“Het is bekend dat statige Taurus-operaties aansluiten bij de geopolitieke belangen van de Chinese regering, waaronder meerdere cyberspionageoperaties tegen Myanmar in het verleden.”
