De nouvelles attaques attribuées au groupe de cyberespionnage basé en Chine Mustang Panda montrent que l’auteur de la menace est passé à de nouvelles stratégies et logiciels malveillants appelés FDMTP et PTSOCKET pour télécharger des charges utiles et voler des informations sur les réseaux piratés.
Les chercheurs ont découvert que les pirates utilisaient une variante du ver HIUPAN pour diffuser le logiciel malveillant PUBLOAD via des lecteurs amovibles sur le réseau.
Mustang Panda, (également connu sous le nom de HoneyMyte / Broze President / Earth Preta / Polaris / Stately Taurus)est un groupe de pirates informatiques soutenu par l’État chinois qui se concentre sur les opérations de cyberespionnage contre des entités gouvernementales et non gouvernementales principalement en Asie-Pacifique, mais des organisations dans d’autres régions sont également dans sa portée cible.
Chaîne d’attaque basée sur les vers
Mustang Panda utilise généralement les e-mails de spear-phishing comme vecteur d’accès initial, mais dans un rapport publié aujourd’hui, des chercheurs de la société de cybersécurité Trend Micro affirment que les nouvelles attaques de l’acteur de la menace propagent la publication sur le réseau via des lecteurs amovibles infectés par une variante du ver HIUPAN.
HIUPAN cache sa présence en déplaçant tous ses fichiers dans un répertoire caché et en ne laissant qu’un fichier apparemment légitime (« USBConfig.exe ») visible sur le lecteur pour inciter l’utilisateur à l’exécuter.
PUBLOAD est le principal outil de contrôle des attaques. Il est exécuté sur le système via le chargement latéral de la DLL, établit la persistance en modifiant le registre Windows, puis exécute des commandes spécifiques à la reconnaissance pour mapper le réseau.
Outre PUBLOAD, l’auteur de la menace a utilisé un nouveau logiciel malveillant nommé FDMTP, qui agit comme un outil de contrôle secondaire. Les chercheurs disent que FDMTP est intégré dans la section de données d’une DLL et qu’il peut également être déployé via le chargement latéral de DLL.
Selon les chercheurs, la collecte de données lors d’attaques plus récentes de Mustang Panda se fait dans des archives et des cibles RAR .DOCTEUR, .DOCX, .XLS, .XLSX, .PDF,.PPT, et .Fichiers PPTX à partir des dates limites spécifiées.
L’auteur de la menace exfiltrera les informations via PUBLOAD à l’aide de l’outil cURL. Cependant, une alternative existe dans l’outil de transfert de fichiers PTSOCKET personnalisé, une implémentation basée sur TouchSocket sur DMTP.
Campagne de harponnage en juin
En juin, les chercheurs ont observé une » campagne de harponnage rapide » de Mustang Panda pour fournir le téléchargeur d’APPÂTS descendants qui récupérait un document leurre ainsi que le malware PULLBAIT, qui est exécuté en mémoire.
Ensuite, l’attaquant récupère et exécute la porte dérobée de première étape appelée CBROVER qui est signée numériquement pour éviter de déclencher l’alarme.
Mustang Panda a été observé en utilisant PLUGX pour introduire d’autres outils tels que « FILES AS », un outil qui collecte des fichiers de documents similaires .DOCTEUR, .XLS, .PDF,.DWG,.PPTX, .DOCX, et les exfiltrer.
Trend Micro note qu’il existe une autre méthode d’exfiltration impliquant probablement l’abus de Microsoft OneDrive, mais les chercheurs n’ont pas pu trouver l’outil utilisé pour la tâche. Le groupe de menaces a déjà été vu abuser de Google Drive pour introduire des logiciels malveillants dans les réseaux gouvernementaux.
Les chercheurs de Trend Micro affirment que Mustang Panda, que la société suit sous le nom de Earth Preta, a fait des progrès significatifs dans « le déploiement et les stratégies de logiciels malveillants, en particulier dans leurs campagnes ciblant les entités gouvernementales « (par exemple, l’armée, la police, les agences des affaires étrangères, le bien-être, le pouvoir exécutif et l’éducation dans la région APAC).
Ils notent que l’auteur de la menace continue d’être très actif dans la région et que les nouvelles tactiques indiquent qu’il se concentre sur « des opérations hautement ciblées et urgentes. »