MUSTANG PANDA: um adversário com sede na China que demonstrou capacidade de assimilar rapidamente novas ferramentas e táticas em suas operações

O destaque do adversário de junho de 2018 está no MUSTANG PANDA, um adversário com sede na China que demonstrou capacidade de assimilar rapidamente novas ferramentas e táticas em suas operações, como evidenciado pelo uso do código de exploração para CVE-2017-0199 dias após sua divulgação pública divulgação.

Em abril de 2017, CrowdStrike® Falcon Intelligence™ observou um grupo de atores não atribuídos anteriormente com um nexo chinês visando um think tank baseado nos EUA. Uma análise mais aprofundada revelou uma campanha mais ampla com táticas, técnicas e procedimentos (TTPs) exclusivos. Esse adversário visa organizações não governamentais (ONGs) em geral, mas usa iscas e temas da língua mongol, sugerindo que esse ator tem um foco específico na coleta de informações sobre a Mongólia. Essas campanhas envolvem o uso de malware compartilhado como Poison Ivy ou PlugX.

Recentemente, a Falcon Intelligence observou uma nova atividade do MUSTANG PANDA, usando uma cadeia de infecção única para atingir prováveis ​​vítimas baseadas na Mongólia. Essa atividade recém-observada usa uma série de redirecionamentos e implementações maliciosas sem arquivo de ferramentas legítimas para obter acesso aos sistemas visados. Além disso, os atores do MUSTANG PANDA reutilizaram domínios legítimos observados anteriormente para hospedar arquivos.

Métodos do Mustang Panda

A cadeia de infecção exclusiva do Mustang Panda geralmente segue as seguintes etapas:

1. A cadeia de infecção usada neste ataque começa com um link armado para uma pasta do Google Drive, ofuscado pelo serviço de encurtamento de links goo.gl.
2. Quando contatado, o link do Google Drive recupera um arquivo zip, que contém um arquivo .lnk ofuscado como um arquivo .pdf usando o truque de extensão dupla.
3. Esse arquivo requer que o alvo tente abrir o arquivo .lnk, que redireciona o usuário para um arquivo Windows Scripting Component (.wsc), hospedado em uma página de microblog controlada pelo adversário. O MUSTANG PANDA já usou o site de microblogging observado para hospedar scripts maliciosos do PowerShell e documentos do Microsoft Office em ataques direcionados a ONGs focadas na Mongólia.
4. O arquivo .lnk usa um componente VBScript incorporado para recuperar um arquivo PDF falso e um script PowerShell da página da Web controlada pelo adversário.
5. O script do PowerShell cria uma carga útil do estágio Cobalt Strike. Esse script do PowerShell também recupera uma carga útil do sinalizador Cobalt Strike codificado por XOR de um domínio controlado pelo adversário.
6. O implante Cobalt Strike Beacon sinaliza para o endereço IP de comando e controle (C2), que é usado para controlar remotamente o implante.

Não há nomes conhecidos de comunidades ou setores associados a este ator.

Outros adversários conhecidos baseados na China

• Anchor Panda
• Deep Panda
• Goblin Panda
• Samurai Panda

Curioso sobre outros adversários do estado-nação?

Veja também O Hammer Panda e Wicked Panda.

 

Fonte: CrowdStrike