قراصنة صينيون يطلقون العنان للباب الخلفي لـ MQsTTang ضد الكيانات الحكومية
إن الباب الخلفي MQTTang الجديد قادر على تجنب الاكتشاف ، مما يجعله تهديدًا أكبر للضحايا.
مجموعة المتسللين وراء هذه الحملة هي مجموعة APT الصينية سيئة السمعة المسماة Mustang Panda ، في حين أن الأهداف الرئيسية للهجوم هي المنظمات الحكومية والسياسية في جميع أنحاء آسيا وأوروبا.
ورد أن Mustang Panda ، مجموعة APT الصينية سيئة السمعة ، نشرت بابًا خلفيًا جديدًا مخصصًا يطلق عليه MQsTTang. قامت شركة الأمن السيبراني السلوفاكية ESET بتحليل هذه الحملة التي بدأت في أوائل عام 2021.
وفقًا للباحث في ESET Alexandre CT Cyr MQsTTang ، تم استخدام باب خلفي مخصص غير مرئي سابقًا في حملة الهندسة الاجتماعية التي بدأت في يناير 2023.
لا يعتمد هذا الباب الخلفي على أي عائلة حالية من البرامج الضارة أو المشاريع المتاحة للجمهور. ذكرت ESET أن المهاجمين استخدموا أسماء ملفات خادعة تتوافق مع حملاتهم السابقة التي تستهدف المنظمات السياسية الأوروبية.
من هي الأهداف؟
قيمت ESET أن المهاجمين يستهدفون هويات مجهولة في أستراليا وبلغاريا. كما ركزوا على كيانات في آسيا وأوروبا ؛ مؤسسة حكومية في تايوان من بين الأهداف. وبحسب الباحثين فإن هذه الحملة ما زالت مستمرة.
حول موستانج باندا
تُعرف مجموعة التجسس الإلكتروني هذه أيضًا باسم "الرئيس البرونزي" و "TA416". يعتمدون عادةً على متغيرات Korplug المخصصة أو PlugX وسلاسل التحميل المعقدة. ومع ذلك ، في هذه الحالة ، استخدمت المجموعة تكتيكًا غير معتاد من خلال إنشاء برامج ضارة بمرحلة واحدة فقط وبدون تقنيات التعتيم.
استهدفت Mustang Panda المؤسسات في جميع أنحاء العالم وسرقت البيانات باستخدام RAT المخصص لها ، PlugX. ومع ذلك ، هذه المرة ، طور Mustang Panda البرنامج الضار MQsTTang الخلفي لجعل عملية الكشف أكثر صعوبة وإسناد البيانات أصعب. بالإضافة إلى ذلك ، بدأت المجموعة في استخدام أدوات مخصصة أخرى ، مثل PUBLOAD و TONESHELL و TONEINS.
كيف يعمل الهجوم؟
تم وصف البرنامج الضار على أنه باب خلفي مكشوف ، والذي يسمح للمهاجم بتنفيذ أوامر عن بعد على الجهاز المخترق. يتم توزيع MQTTang عبر رسائل البريد الإلكتروني للتصيد الاحتيالي ، ويتم تنزيل الحمولات من خلال مستودعات GitHub التي أنشأها مستخدم مرتبط بالحملات المكتشفة سابقًا لمجموعة APT هذه.
يتم ضغط الملف التنفيذي MQsTTang في أرشيفات RAR ويتم تسميته على اسم موضوع دبلوماسي ، مثل فحص جواز السفر للسفارة وموظفي البعثة الدبلوماسية. عند إطلاقه ، يقوم البرنامج الضار بإنشاء نسخة منه باستخدام وسيطة سطر أوامر لأداء مهام مثل تمكين اتصالات C2 أو ضمان الاستمرارية.
الشيء غير المعتاد في MQsTTang هو أنه يستخدم بروتوكول MQTT لاتصالات C2 للحفاظ على المرونة في عمليات الإزالة C2 ، وإخفاء البنية التحتية التي يستخدمها المتسللون من خلال إشراك وسيط لتمرير الاتصالات ، والتحقق من أدوات تصحيح الأخطاء / أدوات المراقبة لتجنب الكشف ، وما إلى ذلك.
جاء في تقرير ESET: "يوفر هذا الباب الخلفي MQsTTang الجديد نوعًا من الصدفة البعيدة بدون أي من الأجراس والصفارات المرتبطة بعائلات البرامج الضارة الأخرى للمجموعة" .
