Een China-gekoppelde dreigingsacteur die bekend staat als Mustang Panda is toegeschreven aan een nieuwe cyberspionage-campagne gericht tegen de Tibetaanse gemeenschap.
De speer-phishing-aanvallen hefboomonderwerpen met betrekking tot Tibet, zoals het 9e Wereldparlementariërsconventie over Tibet (WPCT), het onderwijsbeleid van China in de Tibet Autonomous Region (TAR), en een recent gepubliceerd boek door de 14e Dalai Lama, volgens IBM X-Force.
De cybersecurity -divisie van het technologiebedrijf zei dat het de campagne eerder deze maand observeerde, met de aanvallen die leidden tot de inzet van een bekende Mustang Panda Malware genaamd Pubload. Het volgt de dreigingsacteur onder de naam Hive0154.
De aanvalsketens gebruiken Tibet-thema-kunstaas om een kwaadaardig archief te distribueren met een goedaardig Microsoft Word-bestand, samen met artikelen die zijn gereproduceerd door Tibetaanse websites en foto’s van WPCT, om een uitvoerbaar bestand te openen dat vermomd is als een document.
Het uitvoerbare bestand, zoals waargenomen in eerdere Mustang Panda-aanvallen, maakt gebruik van DLL Side-loading om een kwaadaardige DLL-genoonde Claimloader te starten die vervolgens wordt gebruikt om Pubload te impl het, een downloadermalware die verantwoordelijk is voor het contacteren van een externe server en het ophalen van een pay-lading van de volgende podia die Pubshell wordt nagesynchroniseerd.
Pubshell is een “lichtgewicht achterdeur die onmiddellijke toegang tot de machine faciliteert via een omgekeerde schaal”, zeiden beveiligingsonderzoekers Golo Mühr en Joshua Chung in een analyse die deze week werd gepubliceerd.
In dit stadium is het de moeite waard om enkele van de nomenclatuurverschillen te vermelden: IBM heeft de naam ClaimLoader aan de aangepaste Stager gegeven die voor het eerst werd gedocumenteerd door Cisco Talos in mei 2022 en naar de eerste fase ShellCode-downloader, terwijl Trend Micro zowel de Stager als de downloader als PUNDER identificeert. Team T5 volgt op dezelfde manier de twee componenten samen als NOFIVE.
De ontwikkeling komt weken na de activiteit van IBM waarvan het zei dat het het werk is van een HIVE0154-subcluster gericht op de Verenigde Staten, Filippijnen, Pakistan en Taiwan van eind 2024 tot begin 2025.
Deze activiteit, zoals in het geval van degenen die zich richten op Tibet, maakt gebruik van bewapende archieven die afkomstig zijn van speer-phishing-e-mails tot target overheid, militaire en diplomatieke entiteiten.
De digitale missives bevatten links naar Google Drive URL’s die de Booby-gevangen zip- of RAR-archieven downloaden bij het klikken, wat uiteindelijk resulteert in de implementatie van Toneshell in 2024 en vanaf dit jaar via Claimloader.
Toneshell, een andere vaak gebruikte Mustang Panda-malware, functioneert op dezelfde manier als Pubshell in die zin dat het ook wordt gebruikt om een omgekeerde shell te maken en opdrachten op de gecompromitteerde host uit te voeren.
“De pubshell -implementatie van de reverse shell via anonieme pijpen is bijna identiek aan Toneshell,” zeiden de onderzoekers. “In plaats van een nieuwe thread uit te voeren om eventuele resultaten onmiddellijk te retourneren, vereist PubShell echter een extra opdracht om de opdrachtresultaten te retourneren. Het ondersteunt ook alleen het uitvoeren van ‘cmd.exe’ als een shell.”
“Op verschillende manieren lijken Pubload en Pubshell een onafhankelijk ontwikkelde ‘Lite -versie’ van Toneshell te zijn, met minder verfijning en duidelijke code overlappingen.”
De aanvallen gericht op Taiwan zijn gekenmerkt door het gebruik van een USB -worm genaamd Hiupan (aka Mistcloak of U2diskWatch), die vervolgens wordt gebruikt om de claimloader te verspreiden en via USB -apparaten te worden gepubliceerd.
“Hive0154 blijft een zeer capabele dreigingsacteur met meerdere actieve subclusters en frequente ontwikkelingscycli,” zeiden de onderzoekers.
“China-uitgelijnde groepen zoals Hive0154 zullen hun grote malware-arsenaal blijven verfijnen en een focus behouden op in Oost-Azië gevestigde organisaties in de particuliere en publieke sectoren. Hun brede scala aan gereedschap, frequente ontwikkelingscycli en USB-worm-gebaseerde malware-distributie benadrukt hen als een verfijnde dreigingsactor.”
