Araştırmacılar, “Görkemli Taurus, Çin’in en aktif APT’lerinden biri olarak kalıcı siber casusluk operasyonları yürütme yeteneğini göstermeye devam ediyor” dedi DLL yandan yükleme ”
Bronze President, Camaro Dragon, Earth Preta, RedDelta ve Stately Taurus isimleri altında da takip edilen Mustang Panda’nın, en az 2012’den beri aktif olan ve sivil toplum kuruluşlarını hedef alan siber casusluk kampanyalarını düzenleyen bir Çin gelişmiş kalıcı tehdidi (APT) olduğu değerlendiriliyor
En son kampanyalar, hedef odaklı kimlik avı e-postalarından yararlanarak, adı verilen bir teknik kullanılarak başlatılan sahte bir dinamik bağlantı kitaplığı (DLL) içeren kötü amaçlı bir ZIP arşiv dosyası sunar
21 Kasım 2023Haber odasıSiber Saldırı / Siber Casusluk
Çin bağlantılı Mustang Panda oyuncusu, Filipinler hükümetine ait bir kuruluşu hedef alan bir siber saldırıyla ilişkilendirildi
“Bu operasyonlar, küresel olarak Çin hükümetini ilgilendiren jeopolitik konularla uyumlu çeşitli kuruluşları hedef alıyor Daha sonra, uzak bir Tehdit Aktörü (TA) ile şifreli komut ve kontrol (C&C) iletişimi kurar “Kabuk kodu, hata ayıklamayı önleme ve şifre çözme işlemlerini gerçekleştirir ” söz konusu ”
siber-2
“Tehdit yazarları aynı zamanda kötü amaçlı yazılımı, komut ve kontrol (C2) bağlantıları için yasal Microsoft trafiğini taklit edecek şekilde yaratıcı bir şekilde yapılandırdı ”
Açıklama, Higaisa adlı Güney Koreli bir APT aktörünün, OpenVPN gibi iyi bilinen yazılım uygulamalarını taklit eden kimlik avı web siteleri aracılığıyla Çinli kullanıcıları hedef aldığının ortaya çıkmasıyla geldi
SmadavProtect’in kullanımı, son aylarda Mustang Panda tarafından benimsenen ve güvenlik çözümünü atlatmak için açıkça tasarlanmış kötü amaçlı yazılımları kullanan bilinen bir taktiktir (STK’lar) ve Kuzey Amerika, Avrupa ve Asya’daki hükümet organları artan gerilim İki ülke arasında tartışmalı Güney Çin Denizi konusunda
Palo Alto Networks Birim 42, muhalif kolektifi Ağustos 2023’teki üç kampanyaya bağladı ve öncelikle Güney Pasifik’teki kuruluşları öne çıkardı ” söz konusu geçen ayın sonlarında
Eylül 2023’ün sonlarında Birim 42, tehdit aktörünün TONESHELL adı verilen bir arka kapı çeşidini dağıtmak üzere isimsiz bir Güneydoğu Asya hükümetine yönelik saldırılara karıştığını da tespit etti
Cyble, “Yükleyici çalıştırıldıktan sonra Rust tabanlı kötü amaçlı yazılımı sisteme bırakıp çalıştırıyor ve ardından bir kabuk kodunu tetikliyor DLL daha sonra uzak bir sunucuyla bağlantı kurar
Şirket, “Kampanyalarda, kötü amaçlı dosyaları dışarıdan yüklemek için Solid PDF Creator ve SmadavProtect (Endonezya merkezli bir antivirüs çözümü) dahil meşru yazılımlardan yararlanıldı
Filipinler hükümet kuruluşunun büyük olasılıkla 10-15 Ağustos 2023 arasındaki beş günlük süre içinde tehlikeye girdiği değerlendiriliyor