El actor de amenaza vinculado a China conocido como Mustang Panda se ha atribuido a un ataque cibernético dirigido a una estructura no especificada en Myanmar con herramientas previamente no reportadas, destacando el esfuerzo continuo de los actores de amenaza para aumentar la sofisticación y la efectividad de su malware.
Esto incluye versiones actualizadas de una puerta trasera conocida convocatoria Tonoasí como una nueva utensilio de movimiento vecino denominado StarProxy, dos Keyloggers con nombre en código Paklog, Corklog y un regulador de esparcimiento de detección y respuesta de punto final (EDR) conocido como Splatcloak.
«Toneshell, una puerta trasera utilizada por Mustang Panda, se ha actualizado con cambios en su protocolo de comunicación de comando y control de Faketls (C2), así como a los métodos para crear y acumular identificadores de clientes», dijo el investigador de Zscaler Amenazlabz Sudeep Singh en un descomposición de dos partes.
Mustang Panda, igualmente conocido como Basin, Presidente de Bronce, Camaro Dragon, Earth Preta, Honeymyte y Reddelta, es un actor de amenaza patrocinado por el estado de China activo desde al menos 2012.
Conocidas por sus ataques contra gobiernos, entidades militares, grupos minoritarios y organizaciones no gubernamentales (ONG) principalmente en países ubicados en el este de Asia, y en beocio medida en Europa, el camarilla tiene un historial de explotación de técnicas de carga vecino de DLL para entregar el malware TIGNX.
Sin secuestro, desde finales de 2022, las campañas orquestadas por Mustang Panda han comenzado a entregar con frecuencia una grupo de malware a medida convocatoria Toneshell, que está diseñada para descargar cargas avíos de la próxima etapa.
ZScaler dijo que descubrió tres nuevas variantes del malware que vienen con diferentes niveles de sofisticación –
- Cambio 1que actúa como una simple carcasa inversa
- Cambio 2que incluye la funcionalidad para descargar DLL del C2 y ejecutarlos inyectando la DLL en procesos legítimos (por ejemplo, svchost.exe)
- Cambio 3que incluye la funcionalidad para descargar archivos y crear un subproceso para ejecutar comandos recibidos de un servidor remoto a través de un protocolo basado en TCP personalizado
Una nueva cámara de software asociada con Mustang Panda es StarProxy, que se venablo a través de la carga vecino de DLL y está diseñado para servirse el protocolo Faketls para proxy del tráfico y proveer las comunicaciones de los atacantes.
«Una vez activo, StarProxy permite a los atacantes proxy tráfico entre dispositivos infectados y sus servidores C2. StarProxy logra esto utilizando los sockets TCP para comunicarse con el servidor C2 a través del protocolo Faketls, cifrando todos los datos intercambiados con un cálculo de encriptación basado en XOR personalizado», dijo Singh.
«Encima, la utensilio utiliza argumentos de secante de comandos para especificar la dirección IP y el puerto para la comunicación, lo que permite a los atacantes transmitir datos a través de máquinas comprometidas».
 |
| Actividad de StarProxy |
Se cree que Starproxy se implementa como una utensilio posterior a la compromiso para ingresar a estaciones de trabajo internas internamente de una red que no está directamente expuesta a Internet.
Además se identifican dos nuevos Keyloggers, Paklog y Corklog, que se utilizan para monitorear las teclas y los datos del portapapeles. La principal diferencia entre los dos es que este zaguero almacena los datos capturados en un archivo encriptado utilizando una esencia RC4 de 48 caracteres e implementa mecanismos de persistencia mediante la creación de servicios o tareas programadas.
Entreambos keyloggers carecen de capacidades de exfiltración de datos propias, lo que significa que existen solamente para compilar los datos de la pulsación de tecla y escribirlos en una ubicación específica y que el actor de amenaza usa otros métodos para transmitirlos a su infraestructura.
Aproveche las nuevas incorporaciones al atarazana de malware del panda Mustang es Splatcloak, un regulador de núcleo de Windows desplegado por Splatdropper que está equipado para deshabilitar las rutinas relacionadas con EDR implementadas por Windows Defender y Kaspersky, lo que permite esfumarse bajo el radar.
«Mustang Panda demuestra un enfoque calculado para alcanzar sus objetivos», dijo Singh. «Las actualizaciones continuas, las nuevas herramientas y la ofuscación en capas prolongan la seguridad operativa del camarilla y alivio la operatividad de los ataques».
UNC5221 deja caer nuevas versiones de BrickStorm dirigida a Windows
La divulgación se produce cuando el clúster de espionaje cibernético de China-Nexus llamado UNC5221 se ha conectado al uso de una nueva lectura del malware de tormenta de ladrillos en ataques dirigidos a entornos de Windows en Europa desde al menos 2022, según la firma belga de ciberseguridad NVISO.
Brickstorm, primero documentado el año pasado en relación con la explotación del día cero de las vulnerabilidades de día cero de Ivanti Connect Secure (CVE-2023-46805 y CVE-2024-21887) contra la corporación MITER, es una puerta trasera Golang desplegada en servidores de Linux que ejecuta VMware vMware.
«Admite la capacidad de configurarlo como un servidor web, realizar una manipulación del sistema de archivos y directorio, realizar operaciones de archivos como cargar/descargar, ejecutar comandos de shell y realizar calcetines de retransmisión», dijo Google Mandiant en abril de 2024. «Brickstorm se comunica sobre las websockets a un C2 con codificación dura».
Los artefactos de Windows recientemente identificados, igualmente escritos en GO, proporcionan a los atacantes el administrador de archivos y las capacidades de túnel de red a través de un panel, lo que les permite explorar el sistema de archivos, crear o eliminar archivos, y conexiones de red de túnel para el movimiento vecino.
Además resuelven los servidores C2 a través de DNS-Over-HTTPS (DOH), y están diseñados para eludir las defensas a nivel de red como el monitoreo de DNS, la inspección de TLS y el sitio geográfico.
«Las muestras de Windows (..) no están equipadas con capacidades de ejecución de comandos», dijo Nviso. «En cambio, se han observado adversarios utilizando capacidades de túnel de red en combinación con credenciales válidas para propasarse de protocolos perfectamente conocidos como RDP o SMB, lo que alcanza una ejecución de comandos similar».
