Mustang Panda Hackerları, Güney Çin Denizi Gerginliklerinin Ortasında Filipinler Hükümetini Hedef Aldı

Çin bağlantılı Mustang Panda aktörü, tartışmalı Güney Çin Denizi konusunda iki ülke arasında artan gerilimin ortasında bir Filipinler hükümet kuruluşunu hedef alan bir siber saldırıyla bağlantılı.

Palo Alto Networks Unit 42, muhalif kolektifi Ağustos 2023'te öncelikle Güney Pasifik'teki kuruluşları öne çıkaran üç kampanyaya bağladı.

Şirket, "Kampanyalar, kötü amaçlı dosyaları yandan yüklemek için Solid PDF Creator ve SmadavProtect (Endonezya merkezli bir antivirüs çözümü) dahil olmak üzere meşru yazılımlardan yararlandı" dedi.

"Tehdit yazarları ayrıca kötü amaçlı yazılımı, komuta ve kontrol (C2) bağlantıları için meşru Microsoft trafiğinin kimliğine bürünecek şekilde yaratıcı bir şekilde yapılandırdı."

Bronze President, Camaro Dragon, Earth Preta, RedDelta ve Stately Taurus isimleri altında da izlenen Mustang Panda'nın, Kuzey Amerika, Avrupa ve Asya'daki sivil toplum kuruluşlarını (STK'lar) ve devlet kurumlarını hedef alan siber casusluk kampanyaları düzenleyen, en az 2012'den beri aktif olan bir Çin gelişmiş kalıcı tehdidi (APT) olduğu değerlendiriliyor.

Eylül 2023'ün sonlarında Unit 42, tehdit aktörünü, TONESHELL adlı bir arka kapı varyantını dağıtmak için isimsiz bir Güneydoğu Asya hükümetini hedef alan saldırılara da dahil etti.

En son kampanyalar, hedef odaklı kimlik avı e-postalarından yararlanarak DLL dışarıdan yükleme adı verilen bir teknik kullanılarak başlatılan sahte bir dinamik bağlantı kitaplığı (DLL) içeren kötü amaçlı bir ZIP arşiv dosyası sunar. DLL daha sonra uzak bir sunucuyla bağlantı kurar.

Filipinler devlet kurumunun muhtemelen 10-15 Ağustos 2023 tarihleri arasında beş günlük bir süre içinde tehlikeye atıldığı değerlendirildi.

SmadavProtect'in kullanımı, son aylarda Mustang Panda tarafından benimsenen ve güvenlik çözümünü atlamak için açıkça tasarlanmış kötü amaçlı yazılım dağıtan bilinen bir taktiktir.

Araştırmacılar, "Görkemli Taurus, en aktif Çin APT'lerinden biri olarak kalıcı siber casusluk operasyonları yürütme yeteneğini göstermeye devam ediyor" dedi.

"Bu operasyonlar, Çin hükümetini ilgilendiren jeopolitik konularla uyumlu olan küresel olarak çeşitli varlıkları hedef alıyor."

Açıklama, Higaisa adlı Güney Koreli bir APT aktörünün, OpenVPN gibi iyi bilinen yazılım uygulamalarını taklit eden kimlik avı web siteleri aracılığıyla Çinli kullanıcıları hedef aldığının ortaya çıkmasıyla geldi.

Cyble geçen ayın sonlarında yaptığı açıklamada, "Yükleyici yürütüldükten sonra sistemde Rust tabanlı kötü amaçlı yazılım bırakıp çalıştırıyor ve ardından bir kabuk kodunu tetikliyor" dedi. "Kabuk kodu, hata ayıklama önleme ve şifre çözme işlemleri gerçekleştirir. Daha sonra, uzaktaki bir Tehdit Aktörü (TA) ile şifreli komuta ve kontrol (C&C) iletişimi kurar."