El actor de amenaza vinculado a China conocido como Mustang Panda se ha atribuido a un ataque cibernético dirigido a una estructura no especificada en Myanmar con herramientas previamente no reportadas, destacando el esfuerzo continuo de los actores de amenaza para aumentar la sofisticación y la efectividad de su malware.
Esto incluye versiones actualizadas de una puerta trasera conocida llamamiento Tonoasí como una nueva aparejo de movimiento pegado denominado StarProxy, dos Keyloggers con nombre en código Paklog, Corklog y un compensador de distracción de detección y respuesta de punto final (EDR) conocido como Splatcloak.
“Toneshell, una puerta trasera utilizada por Mustang Panda, se ha actualizado con cambios en su protocolo de comunicación de comando y control de Faketls (C2), así como a los métodos para crear y juntar identificadores de clientes”, dijo el investigador de Zscaler Amenazlabz Sudeep Singh en un estudio de dos partes.
Mustang Panda, asimismo conocido como Basin, Presidente de Bronce, Camaro Dragon, Earth Preta, Honeymyte y Reddelta, es un actor de amenaza patrocinado por el estado de China activo desde al menos 2012.
Conocidas por sus ataques contra gobiernos, entidades militares, grupos minoritarios y organizaciones no gubernamentales (ONG) principalmente en países ubicados en el este de Asia, y en pequeño medida en Europa, el conjunto tiene un historial de rendimiento de técnicas de carga pegado de DLL para entregar el malware TIGNX.
Sin confiscación, desde finales de 2022, las campañas orquestadas por Mustang Panda han comenzado a entregar con frecuencia una clan de malware a medida llamamiento Toneshell, que está diseñada para descargar cargas enseres de la próxima etapa.
ZScaler dijo que descubrió tres nuevas variantes del malware que vienen con diferentes niveles de sofisticación –
- Variación 1que actúa como una simple carcasa inversa
- Variación 2que incluye la funcionalidad para descargar DLL del C2 y ejecutarlos inyectando la DLL en procesos legítimos (por ejemplo, svchost.exe)
- Variación 3que incluye la funcionalidad para descargar archivos y crear un subproceso para ejecutar comandos recibidos de un servidor remoto a través de un protocolo basado en TCP personalizado
Una nueva habitación de software asociada con Mustang Panda es StarProxy, que se gancho a través de la carga pegado de DLL y está diseñado para utilizar el protocolo Faketls para proxy del tráfico y entregar las comunicaciones de los atacantes.
“Una vez activo, StarProxy permite a los atacantes proxy tráfico entre dispositivos infectados y sus servidores C2. StarProxy logra esto utilizando los sockets TCP para comunicarse con el servidor C2 a través del protocolo Faketls, cifrando todos los datos intercambiados con un cálculo de encriptación basado en XOR personalizado”, dijo Singh.
“Adicionalmente, la aparejo utiliza argumentos de trayecto de comandos para especificar la dirección IP y el puerto para la comunicación, lo que permite a los atacantes transmitir datos a través de máquinas comprometidas”.
 |
| Actividad de StarProxy |
Se cree que Starproxy se implementa como una aparejo posterior a la compromiso para lograr a estaciones de trabajo internas internamente de una red que no está directamente expuesta a Internet.
Además se identifican dos nuevos Keyloggers, Paklog y Corklog, que se utilizan para monitorear las teclas y los datos del portapapeles. La principal diferencia entre los dos es que este posterior almacena los datos capturados en un archivo encriptado utilizando una esencia RC4 de 48 caracteres e implementa mecanismos de persistencia mediante la creación de servicios o tareas programadas.
Los dos keyloggers carecen de capacidades de exfiltración de datos propias, lo que significa que existen sólo para compendiar los datos de la pulsación de tecla y escribirlos en una ubicación específica y que el actor de amenaza usa otros métodos para transmitirlos a su infraestructura.
Aproveche las nuevas incorporaciones al cantera de malware del panda Mustang es Splatcloak, un compensador de núcleo de Windows desplegado por Splatdropper que está equipado para deshabilitar las rutinas relacionadas con EDR implementadas por Windows Defender y Kaspersky, lo que permite explosionar bajo el radar.
“Mustang Panda demuestra un enfoque calculado para conquistar sus objetivos”, dijo Singh. “Las actualizaciones continuas, las nuevas herramientas y la ofuscación en capas prolongan la seguridad operativa del conjunto y restablecimiento la competencia de los ataques”.
UNC5221 deja caer nuevas versiones de BrickStorm dirigida a Windows
La divulgación se produce cuando el clúster de espionaje cibernético de China-Nexus llamado UNC5221 se ha conectado al uso de una nueva traducción del malware de tormenta de ladrillos en ataques dirigidos a entornos de Windows en Europa desde al menos 2022, según la firma belga de ciberseguridad NVISO.
Brickstorm, primero documentado el año pasado en relación con la explotación del día cero de las vulnerabilidades de día cero de Ivanti Connect Secure (CVE-2023-46805 y CVE-2024-21887) contra la corporación MITER, es una puerta trasera Golang desplegada en servidores de Linux que ejecuta VMware vMware.
“Admite la capacidad de configurarlo como un servidor web, realizar una manipulación del sistema de archivos y directorio, realizar operaciones de archivos como cargar/descargar, ejecutar comandos de shell y realizar calcetines de retransmisión”, dijo Google Mandiant en abril de 2024. “Brickstorm se comunica sobre las websockets a un C2 con codificación dura”.
Los artefactos de Windows recientemente identificados, asimismo escritos en GO, proporcionan a los atacantes el administrador de archivos y las capacidades de túnel de red a través de un panel, lo que les permite explorar el sistema de archivos, crear o eliminar archivos, y conexiones de red de túnel para el movimiento pegado.
Además resuelven los servidores C2 a través de DNS-Over-HTTPS (DOH), y están diseñados para sortear las defensas a nivel de red como el monitoreo de DNS, la inspección de TLS y el soledad geográfico.
“Las muestras de Windows (..) no están equipadas con capacidades de ejecución de comandos”, dijo Nviso. “En cambio, se han observado adversarios utilizando capacidades de túnel de red en combinación con credenciales válidas para atropellar de protocolos correctamente conocidos como RDP o SMB, lo que alcanza una ejecución de comandos similar”.
