O ator de ameaça baseado na China conhecido como Mustang Panda é suspeito de ter visado o Ministério da Defesa e dos Negócios Estrangeiros de Myanmar como parte de duas campanhas projetadas para implantar backdoors e trojans de acesso remoto.
Os resultados vêm da CSIRT-CTI, que afirmou que as atividades ocorreram em novembro de 2023 e janeiro de 2024 após artefatos em conexão com os ataques terem sido carregados na plataforma VirusTotal.
"Os mais proeminentes desses TTPs são o uso de software legítimo, incluindo um binário desenvolvido pela empresa de engenharia Bernecker & Rainer (B&R) e um componente do assistente de atualização do Windows 10 para carregar dinamicamente bibliotecas de links maliciosos (DLLs)", disse a CSIRT-CTI.
O Mustang Panda, ativo desde pelo menos 2012, é também reconhecido pela comunidade de cibersegurança pelos nomes BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, e TEMP.Hex.
Nos últimos meses, o adversário tem sido atribuído a ataques que visam um governo do Sudeste Asiático não nomeado, bem como as Filipinas, para entregar backdoors capazes de colher informações sensíveis.
A sequência de infecção de novembro de 2023 começa com um e-mail de phishing portando um anexo de arquivo ZIP armadilhado contendo um executável legítimo ("Análise da terceira reunião do NDSC.exe") que é originalmente assinado pela B&R Industrial Automation GmbH e um arquivo DLL ("BrMod104.dll").
O ataque aproveita o fato de que o binário é suscetível à sequestro da ordem de pesquisa de DLL para carregar a DLL desonesta e, posteriormente, estabelecer persistência e contato com um servidor de comando e controle (C2) e recuperar um backdoor conhecido chamado PUBLOAD, que, por sua vez, atua como um carregador personalizado para soltar o implante PlugX.
"Os atores de ameaças tentam disfarçar o tráfego [C2] como tráfego de atualização da Microsoft, adicionando os cabeçalhos 'Host: www.asia.microsoft.com' e 'User-Agent: Windows-Update-Agent'", observou a CSIRT-CTI, espelhando uma campanha de maio de 2023 divulgada pela Lab52.
Por outro lado, a segunda campanha observada este mês emprega uma imagem de disco óptico ("ASEAN Notes.iso") contendo atalhos LNK para acionar um processo de várias etapas que usa outro carregador personalizado chamado TONESHELL para provavelmente implantar PlugX a partir de um servidor C2 agora inacessível.
Vale a pena notar que uma cadeia de ataque semelhante atribuída ao Mustang Panda foi anteriormente descoberta pela EclecticIQ em fevereiro de 2023 em intrusões direcionadas a organizações governamentais e do setor público em toda a Ásia e a Europa.
"Após os ataques rebeldes no norte de Myanmar [em outubro de 2023], a China expressou preocupação sobre seu efeito nas rotas de comércio e segurança ao redor da fronteira Mianmar-China", disse a CSIRT-CTI.
"As operações do Stately Taurus são conhecidas por se alinhar com os interesses geopolíticos do governo chinês, incluindo várias operações de ciberespionagem contra Myanmar no passado."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...