Un acteur menaçant parrainé par l’État chinois connu sous le nom de Mustang Panda cible les organisations gouvernementales et les chercheurs du monde entier avec trois variantes de logiciels malveillants hébergées sur Google Drive, Dropbox et un stockage cloud similaire. (s’ouvre dans un nouvel onglet) solutions.
Les chercheurs de Trend Micro ont récemment repéré la nouvelle campagne de logiciels malveillants, ciblant principalement des organisations situées en Australie, au Japon, à Taïwan, au Myanmar et aux Philippines.
Mustang Panda a été lancé en mars 2022 et a duré au moins jusqu’en octobre. Les attaquants créeraient un e-mail de phishing, l’enverraient à une fausse adresse, tout en gardant la victime réelle en CC. De cette façon, les chercheurs supposent que les attaquants voulaient minimiser les risques d’être détectés par des outils antivirus, des solutions de sécurité de messagerie, etc.
Délivrer des archives malveillantes
« Le sujet de l’e-mail peut être vide ou avoir le même nom que l’archive malveillante », indique le rapport. « Plutôt que d’ajouter les adresses des victimes à l’en-tête « À » de l’e-mail, les acteurs de la menace ont utilisé de faux e-mails. Pendant ce temps, les adresses des vraies victimes étaient écrites dans l’en-tête « CC », susceptibles d’échapper à l’analyse de sécurité et de ralentir les enquêtes. »
Une autre chose qu’ils ont faite pour éviter la détection est de stocker les logiciels malveillants sur des solutions de stockage cloud légitimes, dans un fichier .ZIP ou .RAR, car ces plates-formes sont généralement mises sur liste blanche par les outils de sécurité. Cependant, si la victime tombait dans le piège, téléchargeait et exécutait le fichier d’archive, elle obtiendrait ces trois souches de logiciels malveillants personnalisés : PubLoad, ToneIns et ToneShell.
PubLoad est un stager, utilisé pour télécharger la charge utile de la prochaine étape à partir de son serveur C2. Il ajoute également de nouvelles clés de registre et des tâches planifiées pour établir la persistance. ToneIns est un programme d’installation pour ToneShell, qui est la porte dérobée principale. Bien que le processus puisse sembler trop complexe, il fonctionne comme un mécanisme anti-bac à sable, ont expliqué les chercheurs, car la porte dérobée ne s’exécutera pas dans un environnement de débogage.
Le travail principal du logiciel malveillant consiste à télécharger, télécharger et exécuter des fichiers. Il peut créer des shells pour l’échange de données intranet ou modifier la configuration du sommeil, entre autres. Le logiciel malveillant a récemment reçu quelques nouvelles fonctionnalités, selon les chercheurs, ce qui suggère que Mustang Panda travaille dur, améliore sa boîte à outils et devient de plus en plus dangereux de jour en jour.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)