Um notório ator de ameaça persistente avançado conhecido como Mustang Panda foi vinculado a uma série de ataques de spear phishing direcionados aos setores de governo, educação e pesquisa em todo o mundo.
Os principais alvos das invasões de maio a outubro de 2022 incluíram condados da região da Ásia-Pacífico, como Mianmar, Austrália, Filipinas, Japão e Taiwan, disse a empresa de segurança cibernética Trend Micro em um relatório de sexta-feira.
Mustang Panda, também chamado de Bronze President, Earth Preta, HoneyMyte e Red Lich, é um ator de espionagem baseado na China que acredita-se estar ativo desde pelo menos julho de 2018. O grupo é conhecido por seu uso de malware, como China Chopper e PlugX para coletar dados de ambientes comprometidos.
As atividades do grupo registradas pela ESET, Google, Proofpoint, Cisco Talos e Secureworks este ano revelaram o padrão do agente de ameaça de usar o PlugX (e sua variante chamada Hodur) para infectar uma ampla gama de entidades na Ásia, Europa, Oriente Médio , e as Américas.
As últimas descobertas da Trend Micro mostram que o Mustang Panda continua a desenvolver suas táticas em uma estratégia para evitar a detecção e adotar rotinas de infecção que levam à implantação de famílias de malware sob medida, como TONEINS, TONESHELL e PUBLOAD.
“O Earth Preta abusou de contas falsas do Google para distribuir o malware por meio de e-mails de spear phishing, inicialmente armazenados em um arquivo compactado (como RAR/ZIP/JAR) e distribuído por meio de links do Google Drive”, os pesquisadores Nick Dai, Vickie Su e Sunny Lu disse.
O acesso inicial é facilitado por meio de documentos falsos que cobrem temas geopolíticos controversos para atrair as organizações visadas a baixar e acionar o malware.
Em alguns casos, as mensagens de phishing foram enviadas de contas de e-mail previamente comprometidas pertencentes a entidades específicas, indicando os esforços empreendidos pelo ator Mustang Panda para aumentar a probabilidade de sucesso de suas campanhas.
Os arquivos compactados, quando abertos, são projetados para exibir um documento de atração para a vítima, enquanto carregam furtivamente o malware em segundo plano por meio de um método conhecido como carregamento lateral de DLL.
As cadeias de ataque acabam levando à entrega de três famílias de malware – PUBLOAD, TONEINS e TONESHELL – que são capazes de baixar cargas úteis do próximo estágio e passar despercebidas.
O TONESHELL, o principal backdoor usado nos ataques, é instalado por meio do TONEINS e é um shellcode loader, com uma versão inicial do implante detectada em setembro de 2021, sugerindo esforços contínuos por parte do agente da ameaça para atualizar seu arsenal.
“Earth Preta é um grupo de espionagem cibernética conhecido por desenvolver seus próprios carregadores em combinação com ferramentas existentes como PlugX e Cobalt Strike para comprometimento”, concluíram os pesquisadores.
“Uma vez que o grupo tenha se infiltrado nos sistemas de uma vítima visada, os documentos confidenciais roubados podem ser utilizados como vetores de entrada para a próxima onda de invasões. Essa estratégia amplia amplamente o escopo afetado na região envolvida.”
Fonte: The Hacker News
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
