قراصنة صينيون يستهدفون الكيانات الأوروبية باستخدام باب خلفي جديد لـ MQsTTang
تمت ملاحظة ممثل موستانج باندا المتحالف مع الصين باستخدام باب خلفي مخصص غير مرئي حتى الآن يسمى MQsTTang كجزء من حملة الهندسة الاجتماعية المستمرة التي بدأت في يناير 2023.
قال ألكسندر كوت سير الباحث في ESET في تقرير جديد: "على عكس معظم البرامج الضارة للمجموعة ، لا يبدو أن MQsTTang مبني على عائلات موجودة أو مشاريع متاحة للجمهور" .
صعدت سلاسل الهجمات التي دبرها التنظيم من استهداف الكيانات الأوروبية في أعقاب الغزو الروسي الشامل لأوكرانيا العام الماضي. لا تزال ضحية النشاط الحالي غير واضحة ، لكن شركة الأمن السيبراني السلوفاكية قالت إن أسماء ملفات شرك تتماشى مع حملات المجموعة السابقة التي تستهدف المنظمات السياسية الأوروبية.
ومع ذلك ، لاحظت ESET أيضًا هجمات ضد كيانات غير معروفة في بلغاريا وأستراليا ، بالإضافة إلى مؤسسة حكومية في تايوان ، مما يشير إلى التركيز على أوروبا وآسيا.
لدى موستانج باندا تاريخ في استخدام طروادة الوصول عن بعد والتي يطلق عليها اسم PlugX لتحقيق أهدافها ، على الرغم من الاختراقات الأخيرة التي أدت إلى قيام المجموعة بتوسيع ترسانتها من البرامج الضارة لتشمل أدوات مخصصة مثل TONEINS و TONESHELL و PUBLOAD.
في كانون الأول (ديسمبر) 2022 ، كشفت Avast عن مجموعة أخرى من الهجمات التي تستهدف الوكالات الحكومية والمنظمات السياسية غير الحكومية في ميانمار والتي أدت إلى سرقة البيانات الحساسة ، بما في ذلك مقالب البريد الإلكتروني والملفات وجلسات الاستماع في المحكمة وتقارير الاستجواب ونصوص الاجتماعات ، باستخدام متغير PlugX يسمى Hodur وأداة تحميل Google Drive.
علاوة على ذلك ، تم العثور على خادم FTP مرتبط بجهة التهديد لاستضافة مجموعة متنوعة من الأدوات غير الموثقة سابقًا والمستخدمة لتوزيع البرامج الضارة على الأجهزة المصابة ، بما في ذلك حصان طروادة Go-based يسمى JSX والباب الخلفي المعقد المشار إليه باسم HT3.
يشير تطوير MQsTTang إلى استمرار هذا الاتجاه ، حتى لو كان الباب الخلفي أحادي الطور "المجرد" بدون أي تقنيات تشويش تسمح بتنفيذ أوامر عشوائية مستلمة من خادم بعيد.
ومع ذلك ، فإن أحد الجوانب غير المعتادة للغرسة هو استخدام بروتوكول مراسلة إنترنت الأشياء يسمى MQTT لاتصالات الأوامر والتحكم (C2) ، والتي يتم تحقيقها باستخدام مكتبة مفتوحة المصدر تسمى QMQTT ، وهو عميل MQTT لتطبيق Qt عبر الأنظمة الأساسية نطاق.
موجه التسلل الأولي للهجمات هو التصيد بالرمح ، حيث يتم توزيع MQTT عبر أرشيفات RAR التي تحتوي على ملف تنفيذي واحد يحتوي على أسماء ملفات ذات موضوعات دبلوماسية (على سبيل المثال ، "PDF_Passport والسير الذاتية لأعضاء دبلوماسيين من طوكيو JAPAN.eXE").
قال Côté Cyr: "هذا الباب الخلفي MQsTTang الجديد يوفر نوعًا من الصدفة البعيدة بدون أي من الأجراس والصفارات المرتبطة بعائلات البرامج الضارة الأخرى للمجموعة". "ومع ذلك ، فإنه يُظهر أن Mustang Panda تستكشف مجموعات تكنولوجية جديدة لأدواتها."
