A Mustang Panda Hackerek Célpontjai a Fülöp-szigeteki Kormány Között Feszülő Dél-kínai-tengeri Feszültségek Közepette A Mustang Panda, egy Kínához köthető hackercsoport, a Fülöp-szigeteki kormányzati szerveket vette célba, aminek hátterében a Dél-kínai-tengeren kialakult feszültségek állnak. A támadások során a csoport a feszültségeket használta ki, hogy befolyást gyakoroljon a régió geopolitikai helyzetére.
A Palo Alto Networks Unit 42 szerint három kampányt 2023 augusztusában tulajdonítottak a csoportnak, amelyek elsősorban a Dél-Csendes-óceáni régió szervezeteit célozták meg. A támadások során a csoport a kibertérben elérhető eszközöket használta fel, hogy rosszindulatú fájlokat telepítsen. A támadások egy részét a Solid PDF Creator és a SmadavProtect programokon keresztül hajtották végre.
A Mustang Panda, más neveken is ismert, mint Bronz Előlnök, Camaro Sárkány, Föld Preta, RedDelta és Állami Taurus, egy kínai fejlett állandó fenyegetést jelentő (APT) csoport, amely 2012 óta aktív. A csoport célja, hogy kiberspionázs kampányokat szervezzen nem kormányzati szervezetek (NGO-k) és kormányzati testületek ellen szerte a világon.
2023 szeptemberében a Unit 42 egy délkelet-ázsiai kormány elleni támadásokért is a csoportot tette felelőssé. Ezek a támadások a TONESHELL nevű hátsó ajtót használták, amely egy speciális eszköz volt a kormányzati hálózatok megcélzására.
A legutóbbi kampányok dárda-phishing e-maileket alkalmaztak rosszindulatú ZIP archívumok szállítására, amelyek egy rosszindulatú dinamikus kapcsolódó könyvtárat (DLL) tartalmaztak. A támadás során egy távoli szerverrel létesítettek kapcsolatot, ami lehetővé tette a kibertámadók számára, hogy hozzáférjenek a célpontok hálózatához.
Úgy értékelték, hogy a Fülöp-szigeteki kormányzati entitások egy ötnapos időszak alatt, 2023. augusztus 10. és 15. között kerültek kompromittálásra. A csoport stratégiája a különböző kibervédelmi megoldások kijátszása volt, amelyeket a SmadavProtect és más szoftverek használata révén hajtottak végre.
„Állami Taurus továbbra is képességét bizonyítja az állandó kiberspionázs műveletek végrehajtására, mint az egyik legaktívabb kínai APT,” mondták a kutatók. Ezek a műveletek a kínai kormány geopolitikai érdeklődési körével összhangban vannak, amely globálisan különböző entitásokat céloz meg.
A felfedezés azzal egyidőben történik, hogy egy dél-koreai APT szereplőt, Higaisa nevűt fedeztek fel, amely kínai felhasználókat céloz meg adathalász weboldalakon keresztül. Ezek a támadások a kínai kormány által használt szoftveralkalmazásokat utánzó adathalász weboldalakon keresztül történnek. A támadások során Rust alapú kártékony szoftvereket telepítettek, amelyeket a támadók a célhálózatok megcélzására használtak.
„Egyszer végrehajtva, a telepítő Rust alapú kártékony szoftvert telepít és futtat a rendszeren, ezután aktiválva egy shellcode-ot,” mondta a Cyble a múlt hónap végén. „A shellcode anti-debugging és dekódoló műveleteket hajt végre. Ezt követően titkosított parancs-és-vezérlés (C&C) kommunikációt létesít egy távoli fenyegető szereplővel.”