منو سایت

گروه چینی APT Mustang Panda سازمان های اروپایی و روسی را هدف قرار داده است

 تاریخ انتشار :
/
  اخبار استارتاپ
گروه چینی APT Mustang Panda سازمان های اروپایی و روسی را هدف قرار داده است

گروه چینی APT Mustang Panda سازمان های اروپایی و روسی را هدف قرار داده است

گروهی از جاسوسان سایبری به نام موستانگ پاندا که اهداف آنها همیشه در راستای منافع ژئوپلیتیک چین بوده است، اخیرا با استفاده از ترفندهای فیشینگ و مسائل مربوط به جنگ در اوکراین، نهادهای روسی و اروپایی را هدف قرار دادند.

این گروه که از شرکت های مختلف امنیت سایبری مانند Mustang Panda، RedDelta، Bronze President یا TA416 شناخته شده است، حداقل از سال 2012 فعال بوده است و در این مدت با سازمان های مختلف در اتحادیه اروپا، ایالات متحده و آسیا همکاری داشته است. منافع چین مورد حمله قرار گرفته است. اهداف این گروه شامل نهادهای دیپلماتیک، اتاق های فکر، سازمان های غیردولتی، سازمان های مذهبی، شرکت های مخابراتی و فعالان سیاسی است.

موستانگ پاندا حملات فیشینگ خود را بر اساس رویدادهای جاری (مانند ویروس تاج، جلسات بین المللی و مسائل سیاسی جهانی) طراحی می کند. همچنین از گزارش‌های نهادهای اتحادیه اروپا درباره وضعیت امنیتی اروپا (قبل و بعد از حمله روسیه به اوکراین) برای جلب توجه قربانیان حملات اخیر که توسط محققان سیسکو تالوس و چندین شرکت امنیتی دیگر شناسایی شده‌اند، استفاده می‌کند.

بر اساس گزارش اخیر Cisco Talus که اخیراً منتشر شده است، این گروه سایبری از یک سند جعلی حاوی نتیجه‌گیری شورای اروپا در مورد وضعیت امنیتی اروپا سوء استفاده کرده و پس از حمله روسیه به اوکراین، شروع به تهیه گزارش‌های نادرست از کمیسیون اروپا در مورد وضعیت امنیتی اروپا کرده است. اوکراین و سپس بلاروس.

بازرسان همچنین دریافتند که موستانگ پاندا یک فایل مخرب با نام روسی مربوط به واحد مرزی بلاگویفچنسک منتشر کرده است. بلاگووشچنسک شهری در نزدیکی مرز روسیه و چین است و محل استقرار پنجاه و ششمین گارد مرزی پرچم سرخ است.[۱] Blaugovsk در روسیه قرار گرفته‌است. استفاده از چنین ترفندهایی نشان می دهد که موستانگ پاندا ممکن است به دنبال هدف قرار دادن سازمان ها یا مقامات روسی زبان با اطلاعاتی در مورد ارتش روسیه باشد.

گروه جاسوسی سایبری موستانگ پاندا

موستانگ پاندا چگونه کار می کند؟

یک ترفند رایج موستانگ پاندا استفاده از اسب تروا به نام PlugX است که هنوز هم یکی از جاسوس افزارهای مورد علاقه این گروه است. البته روش انتقال و بارگذاری آن در سیستم ها در طول زمان تغییر کرده است.

این گروه در حملات اخیر از یک فایل دانلود مخرب مخفی در یک فایل آرشیو استفاده کرده است. این دانلودر پس از باز شدن و بوت شدن در سیستم، چندین قسمت مختلف را در آن نصب می کند.

این برنامه دانلود ابتدا یک سند قوی را باز می کند که قربانی انتظار دارد آن را به عنوان طعمه ببیند. سپس یک فایل اجرایی خوش خیم را در پس زمینه فعال می کند که هدف آن نصب DLL با استفاده از روش بارگذاری جانبی DLL است. این روش آپلود نام دارد «توالی جستجو را کنترل کنید DLL» مشخص است. برای اجرای این رویکرد، مهاجم باید یک فایل DLL را در یک مکان خاص با نامی خاص نصب کند، به طوری که برنامه آن را در حافظه بارگذاری کند و نیازی به شروع یک فرآیند ناشناس جدید برای شناسایی فرآیند از محصولات نرم افزاری

این DLL همچنین یک بوت است که استفاده از آن رمزگشایی و بارگذاری آپلود نهایی است. این افزونه معمولا یک نسخه ویژه از PlugX است که یک اسب تروجان ماژولار است. این اسب تروجان می تواند پلاگین های مختلفی را بارگذاری کند و قابلیت های خود را گسترش دهد. محققان شرکت امنیتی ESET در ماه مارس اعلام کردند که موستانگ پاندا با استفاده از نسخه جدیدی از PlugX به نام Korplug حمله ای را انجام داده است.

از سوی دیگر، محققان Cisco Talus هشدار دادند که اعضای این گروه همیشه PlugX را نصب نمی‌کنند و ممکن است از ابزارهایی مانند Meterpreter از چارچوب تست نفوذ OpenSpaset یا حتی بسته‌بندی‌های معکوس ساده استفاده کنند.

موستانگ پاندا چگونه کار می کند؟

در اواخر فوریه، موستانگ پاندا از یک فایل اجرایی به سبک اوکراینی استفاده کرد که نام آن به زبان اوکراینی نوشته شده بود. بر اساس تحقیقات و اقدامات انجام شده، ترجمه این فایل به شرح زیر است: «بیانیه رسمی شورای دفاع و امنیت ملی اوکراین». محققان گفتند: “این زنجیره آلودگی شامل فعال کردن پوسته پشتی ساده اما جدید مبتنی بر TCP با استفاده از دستور cmd.exe است.”

بین سال‌های 2019 تا پایان سال 2021، این گروه از Meterpreter به عنوان یک روش دسترسی برای نصب پایلوت‌های بیشتری نسبت به سرورهای فرمان و کنترل استفاده کرد و در برخی از کمپین‌های خود شروع به استفاده از ابزارهای ویژه DLL کرد. این اقدام در ماه فوریه در حمله به اهدافی در عربستان سعودی نیز مشاهده شد. در این حملات همچنین از یک فایل بایگانی مخرب استفاده شده است که به نظر می رسد به نشست ASEAN مرتبط است.

از مارس 2021، استفاده از فایل‌های LNK (میانبر ویندوز) به جای فایل‌های اجرایی یکی از تکنیک‌های مورد استفاده موستانگ پاندا در حملات خود به قربانیان در آسیا بوده است. این فایل های مخرب LNK حاوی تمام اجزای ضروری زنجیره حمله بودند که ابتدا اسکریپت مخرب BAT را استخراج و اجرا می کرد، سپس افزونه جاوا اسکریپت را استخراج و با استفاده از فایل wscript.exe ویندوز اجرا می کرد. در نهایت، JS Pilot یک stagger مخرب مبتنی بر DLL را بازیابی کرد که به یک سرور فرمان و کنترل متصل می شود.

در مراحل اولیه حملات جدید، فایل‌های اجرایی مخرب ذخیره شده در فایل‌های آرشیو اغلب مورد استفاده قرار می‌گرفتند، اما در گذشته، موستانگ پاندا از فایل‌های Word مخربی نیز استفاده می‌کرد که برای اجرای پلاگین DLL و اجرای زنجیره آلودگی به ماکروها متکی بودند. هدف این حملات باستانی معمولاً سازمان های آسیایی است.

موستانگ پاندا یک گروه موسیقی جهانی است!

همه این تکنیک‌ها اهمیت ویژه‌ای دارند، زیرا توانایی و توانایی گروه سفارشی‌سازی روش‌هایی را برای انتقال و اجرای فایل‌های مخرب پیشنهاد می‌کند که بر اساس مناسب‌ترین روش برای هدف‌گیری یک شی خاص است. این گروه همیشه بین اجزا، پوسته ها، تروجان ها و مراحل مختلف حرکت می کند.

محققان سیسکو تالوس می‌گویند: «با گذشت زمان، موستانگ پاندا تاکتیک‌های خود را برای هدف قرار دادن موجودات مختلف در سه قاره اروپا، ایالات متحده و آسیا و حتی متحدانی مانند روسیه اصلاح کرده است». هدف این گروه دستیابی به حداکثر دسترسی طولانی مدت از طریق استفاده موفقیت آمیز از موضوعات متقلبانه مرتبط با کنفرانس ها و اجلاس های سران در آسیا و اروپا برای انجام عملیات جاسوسی و سرقت است.

[۱] پرچم قرمز در سیاست نماد سوسیالیسم، کمونیسم و ​​جناح چپ سیاسی است که توسط چپ پس از انقلاب فرانسه مورد استفاده قرار گرفت.

اخبار امنیت سایبری را در سایت فراستی دنبال کنید.

منبع: csoonline