СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
17.04.2025
#ИБ#Инфра

Mustang Panda: Эволюция вредоносного ПО и новые угрозы

Mustang Panda: Эволюция вредоносного ПО и новые угрозы

Источник: www.zscaler.com

Команда Zscaler ThreatLabZ обнародовала информацию о новых действиях, связанных с хакерской группой Mustang Panda, которая, как известно, спонсируется государством Китая. Эта группа активно атакует правительственные, военные и неправительственные организации, преимущественно в Восточной Азии, с последующим распространением на Европу.

Недавние открытия

Недавние исследования выявили активность на двух компьютерах в одной из организаций в Мьянме, что послужило триггером для анализа новой вредоносной активности. Внимание специалистов привлекли две обновленные версии вредоносного ПО:

  • ToneShell — бэкдор, часто используемый Mustang Panda;
  • Неименованный инструмент StarProxy, связанный с операционной инфраструктурой этой группы.

Изменения в ToneShell

ToneShell претерпел значительные изменения, особенно в методах связи с командным центром (C2) и системе хранения идентификаторов. В частности, обновилась коммуникация через протокол FakeTLS, что свидетельствует о развитии методов маскировки сетевой активности. Если в предыдущих версиях использовались заголовки протокола TLSv1.2, то в новых версиях уже применяются заголовки TLSv1.3.

Кроме того, для генерации идентификаторов GUID и исключающих ключей, используемых для шифрования трафика, были применены генераторы случайных чисел. Это касается и вариативного размера исключающих ключей, что говорит о продолжительном адаптационном процессе хакеров.

Методы распространения и структуры атак

Mustang Panda использует различные методы распространения, включая:

  • Дополнительную загрузку библиотек DLL;
  • Упаковку вредоносных файлов в архивы RAR, содержащие законные двоичные файлы.

Три выявленных варианта ToneShell имеют подписанные исполняемые файлы и библиотеки DLL, которые могут выполнять различные вредоносные задачи, такие как загрузка файлов и обратные операции с оболочкой.

Инструмент StarProxy

StarProxy был идентифицирован как инструмент бокового перемещения, позволяющий злоумышленникам ретранслировать трафик между скомпрометированными устройствами и их командным центром. Он использует стандартные сокеты TCP с протоколом FakeTLS и уникальную библиотеку DLL, подключающуюся к серверам C2 с помощью аргументов командной строки.

Передаваемые данные шифруются методом исключающей вероятности (XOR), что, как и в случае с ToneShell, повышает скрытность их операций. Кроме того, StarProxy постоянно пытается установить соединение с сервером C2, что указывает на его важную роль в управлении постоянными угрозами после первоначальной компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: