Uno de los países más prolíficos y actores de amenazas bien conocidos y patrocinados por el estado está de vuelta en escena con un nuevo malware autopropagante que se propaga a través de unidades USB (junto con otras herramientas), para promover sus objetivos de ciberespionaje de control del sistema y filtración de datos.
Mustang Panda también utiliza el phishing para difundir descargadores de varias etapas que entregan malware en su reciente ataque a varias entidades gubernamentales en la región de Asia Pacífico (APAC), según investigadores de Trend Micro. reveló en una publicación de blog del 9 de septiembre.
El uso de unidades USB cargadas de malware es una estrategia comprobada. una renovación durante y después de la pandemia de COVID-19, y Mustang Panda (también conocido como Camaro DragónSe sabe que Bronze President, Luminous Moth, Red Delta, Stately Taurus y, para Trend Micro, Earth Preta) lo utilizan como vector de infección primariaLa amenaza persistente avanzada (APT) se encuentra principalmente en el ámbito del ciberespionaje y es conocida por colaborar con otros actores chinos en ataques coordinados. De hecho, Trend Micro informó recientemente sobre un ola de nueva actividad de los actores de amenazas chinos en general, que pueden estar vinculados o no.
Ataques rápidos de Mustang Panda, malware personalizado
Esta vez, Mustang Panda utiliza el vector para distribuir malware llamado PUBLOAD a través de una variante autopropagante del gusano HIUPAN, junto con otras herramientas como FDMTP y PTSOCKET para controlar sistemas y filtrar datos. Una campaña simultánea de phishing llevada a cabo por el actor de amenazas también apunta al mismo grupo demográfico de víctimas, utilizando archivos adjuntos de correo electrónico maliciosos para distribuir puertas traseras y otro malware.
Los objetivos específicos de estas campañas incluyen personas que trabajan en diversas organizaciones gubernamentales: el ejército, los departamentos de policía, las agencias de asuntos exteriores y bienestar social, los poderes ejecutivos y la educación pública. Las víctimas a menudo son víctimas de un enfoque rápido que se infiltra en su sistema y roba datos antes de que tengan idea de lo que está sucediendo, según Trend Micro.
“Los ataques de Earth Preta son muy específicos y urgentes, y a menudo implican un despliegue rápido y una filtración de datos, con un enfoque en países y sectores específicos de la región APAC”, escribieron los investigadores de Trend Micro Lenart Bermejo, Sunny Lu y Ted Lee en la publicación.
Evolución de tácticas APT anteriores
Las nuevas campañas observadas por Trend Micro tienen dos vectores de entrada distintos que muestran una evolución en las tácticas típicas del grupo. El primero es la implementación del gusano HIUPAN a través de unidades USB para propagar PUBLOAD, que actúa como intermediario capaz de descargar la carga útil de la siguiente etapa desde un servidor de comando y control (C2).
En campañas anteriores, Mustang Panda ha utilizado correos electrónicos de phishing para distribuir PUBLOAD, haciendo del uso de un gusano autopropagador una nueva táctica para el grupo. El objetivo final de la campaña USB es entregar malware en etapa avanzada para tomar el control de un entorno específico y exfiltrar datos de manera persistente.
“Esta variante HIUPAN tiene diferencias con la variante previamente documentada, que se utilizó para propagar ACNSHELL, aunque su utilidad principal en la cadena de ataque sigue siendo la misma”, señalaron los investigadores en la publicación.
La versión de PUBLOAD utilizada en las nuevas campañas es similar a las entregadas anteriormente a través de phishing Y documentado por Trend Micro. En este caso, Mustang Panda utiliza PUBLOAD para introducir herramientas adicionales en el entorno de destino, como FDMTP para que sirva como herramienta de control secundaria y PTSOCKET, que se utiliza como una opción alternativa de exfiltración.
El phishing es un ataque de múltiples capas
Por otra parte, una campaña “rápida” de phishing observada por investigadores en junio propaga una cadena de malware que en última instancia proporciona una puerta trasera llamada CBROVER, que se hace cargo de la descarga de archivos y la ejecución del shell remoto, dijeron los investigadores.
En el camino, los archivos adjuntos .url maliciosos descargan y ejecutan otro malware, incluido DOWNBAIT, un descargador de primera etapa para descargar un documento señuelo y un componente de código shell, y PULLBAIT, un código shell simple que descarga y ejecuta CBROVER. Trend Micro también encontró evidencia de que Mustang Panda aprovecha los servicios en la nube de Microsoft para la filtración de datos.
La campaña de phishing utiliza documentos señuelo relacionados con asuntos exteriores para engañar a las víctimas para que continúen con la cadena de ataques. Los países que probablemente serán blanco de ataques incluyen Myanmar, Filipinas, Vietnam, Singapur, Camboya y Taiwán, dijeron los investigadores.
“Rotación rápida de documentos señuelo y muestras de malware en el servidor WebDAV alojado en 16[.]162[.]188[.]93 sugiere que Earth Preta ejecuta operaciones altamente específicas y urgentes, centrándose en países e industrias específicos en la región APAC”, escribieron.
Los investigadores incluyeron en el mensaje una lista de indicadores de compromiso (IoC) para los ataques y recomiendan “vigilancia continua” y “medidas defensivas actualizadas” frente a las tácticas cada vez más sofisticadas de Mustang Panda y sus cohortes. “Earth Preta se ha mantenido muy activo en la región de Asia y el Pacífico”, escribieron, “y probablemente seguirá siéndolo en el futuro previsible”.