O agente de ameaças rastreado como Mustang Panda refinou seu arsenal de malware para incluir novas ferramentas, a fim de facilitar a exfiltração de dados e a implantação de payloads subsequentes, conforme novas descobertas da Trend Micro.
A empresa de cibersegurança, que está monitorando o cluster de atividade sob o nome Earth Preta, disse que observou "a propagação de PUBLOAD via uma variante do worm HIUPAN." PUBLOAD é um malware downloader conhecido, ligado ao Mustang Panda desde o início de 2022, implantado como parte de ataques cibernéticos direcionados a entidades governamentais na região da Ásia-Pacífico (APAC) para entregar o malware PlugX.
"PUBLOAD também foi usado para introduzir ferramentas complementares no ambiente dos alvos, como FDMTP para servir como uma ferramenta de controle secundária, que foi observada desempenhando tarefas similares às de PUBLOAD; e PTSOCKET, uma ferramenta usada como uma opção alternativa de exfiltração," disseram os pesquisadores de segurança Lenart Bermejo, Sunny Lu e Ted Lee.
O uso de drives removíveis pelo Mustang Panda como um vetor de propagação para HIUPAN foi anteriormente documentado pela Trend Micro em março de 2023.
É rastreado pelo Mandiant, da Google, como MISTCLOAK, que o observou em conexão com uma campanha de espionagem cibernética direcionada às Filipinas, que pode ter começado já em setembro de 2021.
PUBLOAD é equipado com recursos para realizar reconhecimento da rede infectada e colher arquivos de interesse (.doc, .docx, .xls, .xlsx, .pdf, .ppt e .pptx), enquanto também serve como um canal para uma nova ferramenta de hacking chamada FDMTP, que é um "simples malware downloader" implementado baseado em TouchSocket sobre Duplex Message Transport Protocol (DMTP).
As informações capturadas são comprimidas em um arquivo RAR e exfiltradas para um site FTP controlado pelo atacante via cURL.
Alternativamente, também foi observado que o Mustang Panda está implantando um programa personalizado chamado PTSOCKET que pode transferir arquivos em modo multi-thread.
Além disso, a Trend Micro atribuiu ao adversário uma campanha de spear-phishing "rápida" que detectou em junho de 2024 distribuindo mensagens de email contendo um anexo .url, que, quando lançado, é usado para entregar um downloader assinado apelidado de DOWNBAIT.
Acredita-se que a campanha tenha visado Mianmar, Filipinas, Vietnã, Singapura, Camboja e Taiwan, com base nos nomes de arquivos e no conteúdo dos documentos isca utilizados.
DOWNBAIT é uma ferramenta de carregamento de primeira fase que é usada para recuperar e executar o shellcode PULLBAIT na memória, que subsequentemente baixa e executa a backdoor de primeira fase referida como CBROVER.
O implante, por sua vez, suporta capacidades de download de arquivo e execução de shell remoto, ao lado de atuar como um veículo de entrega para o trojan de acesso remoto (RAT) PlugX.
PlugX, então, cuida de implantar outro coletor de arquivos sob medida chamado FILESAC que pode coletar os arquivos da vítima.
A divulgação ocorre enquanto a Unit 42 da Palo Alto Networks detalhou o abuso do recurso de shell reverso embutido do Visual Studio Code pelo Mustang Panda para ganhar um ponto de apoio em redes alvo, indicando que o agente de ameaças está ativamente ajustando seu modus operandi.
"Earth Preta demonstrou avanços significativos em sua implantação de malware e estratégias, particularmente em suas campanhas visando entidades governamentais," disseram os pesquisadores.
O grupo evoluiu suas táticas, [...] aproveitando downloaders de múltiplas fases (de DOWNBAIT para PlugX) e possivelmente explorando os serviços de nuvem da Microsoft para exfiltração de dados.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...