De China-gekoppelde dreigingsacteur die bekend staat als Mustang Panda is toegeschreven aan een cyberaanval die gericht is op een niet-gespecificeerde organisatie in Myanmar met eerder niet-gemelde gereedschap, waardoor voortdurende inspanningen door de dreigingsactoren worden benadrukt om de verfijning en effectiviteit van hun malware te vergroten.
Dit omvat bijgewerkte versies van een bekende achterdeur genaamd Tonshellevenals een nieuwe laterale bewegingstool StarProxy genoemd, twee keyloggers codenaam Paklog, Corklog en een ENDPOINT DETECTIE EN RESPONS (EDR) Evasion Driver aangeduid als aangeduid als Splatcloak.
“Toneshell, een achterdeur die wordt gebruikt door Mustang Panda, is bijgewerkt met wijzigingen in zijn Faketls Command-and-Control (C2) communicatieprotocol en voor de methoden voor het maken en opslaan van klantidentificaties,” zei ZScaler Threatepz-onderzoeker Sudeep Singh in een tweedelige analyse.
Mustang Panda, ook bekend als Basin, Bronze President, Camaro Dragon, Earth Preta, hindernis en Reddelta, is een door China uitgelijnde door de staat gesponsorde dreigingsacteur actief sinds minstens 2012.
Bekend om haar aanvallen op regeringen, militaire entiteiten, minderheidsgroepen en niet-gouvernementele organisaties (NGO’s) voornamelijk in landen in Oost-Azië, en in mindere mate in Europa, heeft de groep een geschiedenis van het gebruik van DLL-side-loadingtechnieken om de plugx-malware te leveren.
Sinds eind 2022 zijn campagnes die door Mustang Panda zijn georkestreerd echter begonnen met het leveren van een op maat gemaakte malware-familie genaamd Toneshell, die is ontworpen om de volgende fase payloads te downloaden.
ZScaler zei dat het drie nieuwe varianten van de malware ontdekte die gepaard gaan met verschillende niveaus van verfijning –
- Variant 1die fungeert als een eenvoudige omgekeerde schaal
- Variant 2waaronder functionaliteit om DLL’s van de C2 te downloaden en ze uit te voeren door de DLL in legitieme processen te injecteren (bijv. SVChost.exe)
- Variant 3waaronder functionaliteit om bestanden te downloaden en een subverwerking te maken om opdrachten uit een externe server uit te voeren via een aangepast TCP-gebaseerd protocol
Een nieuw stukje software geassocieerd met Mustang Panda is StarProxy, dat wordt gelanceerd via DLL-side-loading en is ontworpen om te profiteren van Faketls-protocol voor proxyverkeer en aanvallerscommunicatie te vergemakkelijken.
“Eenmaal actief, stelt StarProxy aanvallers in staat om te proxy-verkeer tussen geïnfecteerde apparaten en hun C2-servers. StarProxy bereikt dit door TCP-sockets te gebruiken om met de C2-server te communiceren via het Faketls-protocol, die alle uitgewisselde gegevens met een op maat gemaakte XOR-coderingsalgoritme,” Singh codert.
“Bovendien gebruikt de tool opdrachtregelargumenten om het IP-adres en de poort voor communicatie op te geven, waardoor aanvallers gegevens kunnen doorgeven via gecompromitteerde machines.”
Er wordt aangenomen dat starproxy wordt geïmplementeerd als een post-compromisopool om toegang te krijgen tot interne werkstations binnen een netwerk die niet direct aan internet worden blootgesteld.
Ook geïdentificeerd zijn twee nieuwe keyloggers, Paklog en Corklog, die worden gebruikt om toetsaanslagen en klembordgegevens te controleren. Het primaire verschil tussen de twee is dat deze laatste de vastgelegde gegevens in een gecodeerd bestand opslaat met behulp van een 48-tekens RC4-sleutel en persistentiemechanismen implementeert door services of geplande taken te maken.
Beide keyloggers missen zelf eigen exfiltratiemogelijkheden, wat betekent dat ze alleen bestaan om de toetsaanslaggegevens te verzamelen en ze naar een specifieke locatie te schrijven en dat de dreigingsacteur andere methoden gebruikt om ze naar hun infrastructuur te verzenden.
Het afsluiten van de nieuwe toevoegingen aan het malware-arsenaal van de Mustang Panda is Splatcloak, een Windows Kernel-stuurprogramma geïmplementeerd door SplatDropper die is uitgerust om EDR-gerelateerde routines te uitschakelen die zijn geïmplementeerd door Windows Defender en Kaspersky, waardoor het onder de radar kan vliegen.
“Mustang Panda toont een berekende benadering om hun doelstellingen te bereiken,” zei Singh. “Continue updates, nieuwe tooling en gelaagde verduistering verlengen de operationele veiligheid van de groep en verbetert de effectiviteit van aanvallen.”
UNC5221 laat nieuwe versies van Bakstorm vallen op Windows
De openbaarmaking komt wanneer de China-Nexus Cyber Espionage Cluster genaamd UNC5221 is verbonden met het gebruik van een nieuwe versie van de Malware van de Bickstorm in aanvallen gericht op Windows-omgevingen in Europa sinds minstens 2022, volgens de Belgische cybersecuritybedrijf Nviso.
Brickstorm, vorig jaar voor het eerst gedocumenteerd in verband met de zero-day exploitatie van Ivanti Connect Secure Zero-Day kwetsbaarheden (CVE-2023-46805 en CVE-2014-21887) tegen de MITER Corporation, is een Golang-achterdeur die wordt ingezet op Linux-servers die VMware vCenter runnen.
“Het ondersteunt de mogelijkheid om zichzelf in te stellen als een webserver, bestandssysteem en directory manipulatie uit te voeren, bestandsbewerkingen uit te voeren zoals upload/download, shell-opdrachten uitvoeren en sokken uitvoeren,” zei Google Mandiant in april 2024. “Brickstorm communiceert via websockets naar een hard gecodeerde C2.”
De nieuw geïdentificeerde Windows -artefacten, ook geschreven in Go, bieden aanvallers van bestandsbeheer- en netwerktunnelmogelijkheden via een paneel, waardoor ze door het bestandssysteem kunnen bladeren, bestanden maken of verwijderen en tunnelnetwerkverbindingen voor laterale beweging kunnen worden.
Ze lossen ook C2-servers op via DNS-over-HTTPS (DOH) en zijn ontworpen om verdedigingen op netwerkniveau zoals DNS-monitoring, TLS-inspectie en geo-blokkering te ontwijken.
“De Windows -monsters (..) zijn niet uitgerust met opdrachtuitvoeringsmogelijkheden,” zei Nviso. “In plaats daarvan zijn tegenstanders waargenomen met behulp van netwerktunnelingmogelijkheden in combinatie met geldige referenties om bekende protocollen zoals RDP of SMB te misbruiken, waardoor vergelijkbare commando-uitvoering wordt bereikt.”
