Mustang Panda implementeert geavanceerde malware om overheden in Azië-Pacific te bespioneren

De dreigingsactor die wordt gevolgd als Mustang-panda heeft zijn malware-arsenaal verbeterd met nieuwe tools om data-exfiltratie en de implementatie van next-stage payloads te vergemakkelijken, zo blijkt uit nieuwe bevindingen van Trend Micro.

Het cybersecuritybedrijf, dat de activiteitscluster onder de naam Earth Preta in de gaten houdt, zei dat het “de verspreiding van PUBLOAD via een variant van de worm HIUPAN” heeft waargenomen.

PUBLOAD is een bekende downloader-malware die sinds begin 2022 aan Mustang Panda is gekoppeld. De malware wordt ingezet als onderdeel van cyberaanvallen op overheidsinstanties in de regio Azië-Pacific (APAC) om de PlugX-malware te verspreiden.

“PUBLOAD werd ook gebruikt om aanvullende tools in de omgeving van de doelen te introduceren, zoals FDMTP als secundair controlemiddel. Dit bleek vergelijkbare taken uit te voeren als PUBLOAD. Ook werd PTSOCKET gebruikt als alternatieve exfiltratieoptie”, aldus beveiligingsonderzoekers Lenart Bermejo, Sunny Lu en Ted Lee.

Het gebruik van verwijderbare schijven door Mustang Panda als propagatievector voor HIUPAN werd eerder gedocumenteerd door Trend Micro in maart 2023. Het wordt gevolgd door Mandiant, eigendom van Google, als MISTCLOAK, dat het observeerde in verband met een cyberespionagecampagne gericht op de Filipijnen die mogelijk al in september 2021 begon.

PUBLOAD beschikt over functies waarmee u het geïnfecteerde netwerk kunt verkennen en interessante bestanden kunt verzamelen (.doc, .docx, .xls, .xlsx, .pdf, .ppt en .pptx). Daarnaast fungeert PUBLOAD als kanaal voor een nieuwe hackingtool genaamd FDMTP, een ‘eenvoudige malware-downloader’ die is geïmplementeerd op basis van TouchSocket over Duplex Message Transport Protocol (DMTP).

De vastgelegde informatie wordt gecomprimeerd in een RAR-archief en via cURL geëxfiltreerd naar een door een aanvaller gecontroleerde FTP-site. Als alternatief is Mustang Panda ook waargenomen bij het implementeren van een aangepast programma genaamd PTSOCKET dat bestanden in multi-thread-modus kan overbrengen.

Geavanceerde malware

Trend Micro heeft de aanvaller bovendien toegeschreven aan een ‘snelle’ spear-phishingcampagne die in juni 2024 werd gedetecteerd en waarbij e-mailberichten werden verspreid met een .url-bijlage. Zodra deze wordt gelanceerd, wordt deze gebruikt om een ​​ondertekende downloader met de naam DOWNBAIT te leveren.

Er wordt aangenomen dat de campagne gericht was op Myanmar, de Filipijnen, Vietnam, Singapore, Cambodja en Taiwan, op basis van de bestandsnamen en inhoud van de gebruikte lokdocumenten.

DOWNBAIT is een first-stage loader tool die wordt gebruikt om de PULLBAIT shellcode in het geheugen op te halen en uit te voeren. Vervolgens downloadt en draait de first-stage backdoor, CBROVER genaamd.

Het implantaat ondersteunt op zijn beurt het downloaden van bestanden en de uitvoering van externe shells, en fungeert daarnaast als een aflevervoertuig voor de PlugX remote access trojan (RAT). PlugX zorgt vervolgens voor de implementatie van een andere op maat gemaakte bestandsverzamelaar genaamd FILESAC die de bestanden van het slachtoffer kan verzamelen.

De onthulling volgt op gedetailleerde informatie van Unit 42 van Palo Alto Networks over het misbruik door Mustang Panda van de ingebouwde reverse shell-functie van Visual Studio Code om voet aan de grond te krijgen in doelnetwerken. Hieruit blijkt dat de kwaadwillende partij zijn werkwijze actief aan het aanpassen is.

“Earth Preta heeft significante vooruitgang geboekt in hun malware-implementatie en -strategieën, met name in hun campagnes gericht op overheidsinstanties”, aldus de onderzoekers. “De groep heeft hun tactieken ontwikkeld, (…) door multi-stage downloaders (van DOWNBAIT tot PlugX) te gebruiken en mogelijk de cloudservices van Microsoft te exploiteren voor data-exfiltratie.”

Thijs Van der Does