یک عامل تهدید کننده تحت حمایت دولت چین که به نام موستانگ پاندا شناخته می شود، سازمان های دولتی و محققان را در سراسر جهان با سه نوع بدافزار میزبانی شده در Google Drive، Dropbox و فضای ذخیره سازی ابری مشابه هدف قرار می دهد. (در برگه جدید باز می شود) راه حل ها
محققان Trend Micro اخیراً کمپین بدافزار جدیدی را مشاهده کردند که بیشتر سازمانهای مستقر در استرالیا، ژاپن، تایوان، میانمار و فیلیپین را هدف قرار میدهد.
موستانگ پاندا در مارس 2022 راه اندازی شد و حداقل تا اکتبر دوام آورده است. مهاجمان یک ایمیل فیشینگ ایجاد می کنند، آن را به یک آدرس جعلی ارسال می کنند، در حالی که قربانی واقعی را در CC نگه می دارند. به این ترتیب، محققان فرض میکنند، مهاجمان میخواستند شانس شناسایی شدن توسط ابزارهای آنتی ویروس، راهحلهای امنیتی ایمیل و موارد مشابه را به حداقل برسانند.
ارائه آرشیوهای مخرب
در این گزارش آمده است: “موضوع ایمیل ممکن است خالی باشد یا ممکن است نامی مشابه بایگانی مخرب داشته باشد.” عاملان تهدید به جای اضافه کردن آدرس قربانیان به هدر ایمیل «به»، از ایمیلهای جعلی استفاده کردند. در همین حال، آدرسهای واقعی قربانیان در سربرگ «CC» نوشته شدهاند تا احتمالاً از تحلیلهای امنیتی فرار کرده و تحقیقات را کند کند».
کار دیگری که آنها برای جلوگیری از شناسایی انجام دادند، ذخیره بدافزار بر روی راه حل های ذخیره سازی ابری قانونی، در یک فایل .ZIP یا .RAR است، زیرا این پلتفرم ها معمولاً توسط ابزارهای امنیتی در لیست سفید قرار می گیرند. با این حال، اگر قربانی ترفند، دانلود و اجرای فایل بایگانی را بپذیرد، این سه نوع بدافزار سفارشی را دریافت خواهد کرد: PubLoad، ToneIns و ToneShell.
PubLoad یک مرحله است که برای بارگیری مرحله بعدی از سرور C2 خود استفاده می شود. همچنین کلیدهای رجیستری جدید و وظایف برنامه ریزی شده را برای ایجاد پایداری اضافه می کند. ToneIns یک نصب کننده برای ToneShell است که درب پشتی اصلی است. محققان توضیح دادند در حالی که ممکن است این فرآیند بیش از حد پیچیده به نظر برسد، اما به عنوان یک مکانیسم ضد sandbox عمل می کند، زیرا درب پشتی در یک محیط اشکال زدایی اجرا نمی شود.
وظیفه اصلی این بدافزار آپلود، دانلود و اجرای فایل هاست. میتواند پوستههایی را برای تبادل دادههای اینترانت ایجاد کند یا پیکربندی خواب را از جمله موارد دیگر تغییر دهد. محققان می گویند که این بدافزار اخیراً چند ویژگی جدید دریافت کرده است که نشان می دهد موستانگ پاندا سخت کار می کند، جعبه ابزار خود را بهبود می بخشد و روز به روز خطرناک تر می شود.
از طریق: BleepingComputer (در برگه جدید باز می شود)
آخرین دیدگاهها