El actor de amenaza relacionada con los chinos conocido como Mustang Panda se atribuye a una nueva acción de aficionamiento cibernético dirigido contra la comunidad tibetana.
Según IBM X-Force, se han aprovechado los temas relacionados con el Tíbet, como el Tratado del Tíbet (TAR) del Parlamento Mundial (TAR) y los libros publicados recientemente.
La división de ciberseguridad de la compañía tecnológica observó la campaña a principios de este mes, diciendo que los ataques conducirían al despliegue de malware Mustang Panda conocido llamado Putoad. Seguimiento de un actor de amenaza bajo el nombre Hive0154.
La cadena de ataque utiliza señuelos con tibetanos para distribuir archivos maliciosos que contienen archivos benignos de Microsoft, y abre ejecutables que disfrazan los artículos recreados por sitios web tibetanos y fotos WPCT como documentos.
Como se observó en los ataques de panda Mustang anteriores, el ejecutable aprovecha la respuesta lateral de la DLL para lanzar un cargador de facturación denominado DLL malicioso. Esto se utiliza para implementar publicaciones publicadas, el malware descargador responsable de contactar al servidor remoto y obtener PubShell que inyecte la carga útil para la siguiente etapa.
PubShell dijo que «una puerta trasera liviana que promueve el acceso inmediato a las máquinas a través de conchas inversas», dijeron los investigadores de seguridad Golo Mühr y Joshua Chung en un análisis publicado esta semana.
En esta etapa, vale la pena mencionar algunas de las diferencias en la nomenclatura. IBM especificará un cargador de facturación para un stager personalizado documentado por Cisco Talos en mayo de 2022, y Trend Micro identificará tanto el stager como la descarga como un público. Del mismo modo, el equipo T5 rastrea los dos componentes juntos como nofive.
El desarrollo se produce semanas después de las actividades de IBM que se han descrito como un trabajo en el subcluster Hive0154 dirigido a los Estados Unidos, Filipinas, Pakistán y Taiwán desde finales de 2024 hasta principios de 2025.
La actividad utiliza archivos armados derivados de correos electrónicos de phishing de lanza para atacar a grupos gubernamentales, militares y diplomáticos, como si fueran atacados en el Tíbet.
Las misivas digitales incluyen un enlace a la URL de Google Drive de que descarga los archivos de Zip o Rar atrapados en Booby en clic, y en última instancia, en 2024 se implementarán implementaciones de Toneshell y Publhoad a través del cargador de facturación.
Otro malware Panda Mustang de uso frecuente, Toneshell, funciona de manera similar a PubShell. Esto también se usa para crear una carcasa inversa de hosts comprometidos y comandos Ejecutar.
«La implementación de un caparazón de pub de concha inversa a través de la tubería anónima es aproximadamente la misma que una tonelada», dijeron los investigadores. «Sin embargo, en lugar de ejecutar un nuevo hilo para devolver los resultados de inmediato, PubShell requiere comandos adicionales para devolver los resultados del comando. También admite solo ejecutar» cmd.exe «como shell».
«En algunos aspectos, Publroad y PubShell se desarrollan de forma independiente» versiones lite «de Toneshell, con menos superposiciones de códigos claros sofisticados».
El ataque dirigido a Taiwán se caracteriza por el uso de un gusano USB llamado Hiupan (también conocido como MistCloak o U2DiskWatch), que luego se utilizará para expandir los cargadores de facturación y la publicación a través de dispositivos USB.
«Hive0154 sigue siendo un actor de amenaza altamente capaz con múltiples subclusters activos y ciclos de desarrollo frecuentes», dijeron los investigadores.
«Los grupos de alianza de China como Hive0154 continúan mejorando sus grandes arsenales de malware y se centran en organizaciones privadas y del sector público con sede en Asia.
Source link
