Недавний анализ потенциального образца вредоносного ПО, предположительно связанного с хакером, известным как Mustang Panda (также известным как RedDelta), выявил несколько сложных методов, использованных при его внедрении. Этот отчет проливает свет на оперативные тактики группы и подчеркивает актуальность проблемы кибербезопасности.
Скрытность вредоносного ПО
Вредоносный образец, первоначально выявленный через социальные сети, показал относительно низкий показатель обнаружения на VirusTotal. Это указывает на его потенциальную возможность сокрытия. Название файла образца связано с платформой CVEDIA-RT и, вероятно, создано для того, чтобы вводить в заблуждение аналитиков, предполагая, что он не из КНДР.
Методы внедрения и функционирования
При ближайшем рассмотрении оказывается, что вредоносный файл содержит сценарий PowerShell, предназначенный для автоматической загрузки и установки вредоносного ПО. Этот процесс облегчается с помощью COM-объекта Windows Installer, который настроен на подавление взаимодействия с пользователем, что повышает скрытность операции.
Сценарий перенаправляет на сервер управления по указанному URL-адресу, иллюстрируя зависимость исполнителя от запутанной инфраструктуры для выполнения операций. Одним из ключевых компонентов, которые были проанализированы, стал cnmpaui.exe — инструмент Canon IJ Printer Assistant. Это легальное приложение используется с помощью уязвимости, позволяющей перехватывать поисковые запросы, что позволяет вредоносному ПО внедрять PlugX — троян удаленного доступа — и одновременно отображать документ-приманку для введения пользователя в заблуждение.
Сложные методы обнаружения и реверс-инжиниринга
Вредоносная программа включает в себя:
- Продвинутые методы навигации при обнаружении;
- Изменение блока обработки среды для отключения отладочных проверок;
- Использование локального хранилища потоков (TLS) для динамического разрешения ссылок на функции в памяти.
Эта сложность значительно усложняет реверс-инжиниринг и поведенческий анализ для защитников. Вредоносная программа взаимодействует с различными системными вызовами, используя функции, такие как NtSetInformationProcess и NtQueryInformationProcess, для поддержания контроля в целевой среде.
Стратегии уклонения от обнаружения
Кроме того, вредоносная программа настраивается на запуск при старте системы, изменяя ключи автозапуска реестра Windows, и поставляется с предварительной подписью с помощью законного сертификата Canon, что еще больше усложняет усилия по обнаружению.
Геополитическая цель группы Mustang Panda
Компания Mustang Panda уже давно нацелена на конкретные геополитические объекты, особенно в Юго-Восточной Азии, с акцентом на Монголию. Деятельность группы отражает способность адаптироваться к региональным условиям, используя средства заражения, такие как скрипты PowerShell и MSI-файлы, и продолжая использовать PlugX в качестве надежного бэкдора для утечки данных.
Заключение
Использование CDN Cloudflare для передачи командно-диспетчерского трафика через прокси иллюстрирует стремление скрыть свою операционную инфраструктуру, тем самым повышая устойчивость к мерам кибербезопасности. Этот продемонстрированный рост их методологий проведения атак подчеркивает постоянную угрозу, исходящую от Mustang Panda и аналогичных субъектов. Их тактика совершенствуется в ответ на изменения в геополитическом климате и ландшафте безопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Mustang Panda: Эволюция вредоносного ПО и новые угрозы".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.