قراصنة مرتبطون بالصين يستهدفون الوزارات الكبرى في ميانمار بهجوم مستتر
Mustang Panda، النشطة منذ عام 2012 على الأقل، معترف بها أيضًا من قبل مجتمع الأمن السيبراني تحت أسماء BASIN، وBronze President، وCamaro Dragon، وEarth Preta، وHoneyMyte، وRedDelta، وRed Lich، وStately Taurus، وTEMP.Hex.
يُشتبه في أن جهة التهديد التي تتخذ من الصين مقراً لها والمعروفة باسم موستانج باندا ، قد استهدفت وزارة الدفاع والشؤون الخارجية في ميانمار كجزء من حملتين مزدوجتين مصممتين لنشر أبواب خلفية وأحصنة طروادة للوصول عن بعد.
تأتي النتائج من CSIRT-CTI، التي قالت إن الأنشطة حدثت في نوفمبر 2023 ويناير 2024 بعد تحميل القطع الأثرية المتعلقة بالهجمات إلى منصة VirusTotal.
"أبرز هذه TTPs هو استخدام البرامج الشرعية بما في ذلك البرنامج الثنائي الذي طورته شركة الهندسة Bernecker & Rainer (B&R) ومكون مساعد ترقية Windows 10 لتجاهل مكتبات الارتباط الديناميكي الضارة (DLLs)،" CSIRT-CTI قال .
Mustang Panda، النشطة منذ عام 2012 على الأقل، معترف بها أيضًا من قبل مجتمع الأمن السيبراني تحت أسماء BASIN، وBronze President، وCamaro Dragon، وEarth Preta، وHoneyMyte، وRedDelta، وRed Lich، وStately Taurus، وTEMP.Hex.
وفي الأشهر الأخيرة، نُسب إلى العدو هجمات استهدفت حكومة لم يُذكر اسمها في جنوب شرق آسيا ، بالإضافة إلى الفلبين لتوفير أبواب خلفية قادرة على جمع المعلومات الحساسة.
يبدأ تسلسل الإصابة في نوفمبر 2023 برسالة بريد إلكتروني تصيدية تحتوي على مرفق أرشيف ZIP مفخخ يحتوي على ملف شرعي قابل للتنفيذ ("تحليل الاجتماع الثالث لـ NDSC.exe") تم توقيعه في الأصل بواسطة B&R Industrial Automation GmbH وملف DLL ("BrMod104" ".dll").
يستفيد الهجوم من حقيقة أن الملف الثنائي عرضة لاختطاف أمر بحث DLL لتحميل ملف DLL المارق جانبيًا وبالتالي إنشاء الثبات والاتصال بخادم القيادة والتحكم (C2) واسترداد باب خلفي معروف يسمى PUBLOAD ، والذي ، يعمل بدوره كمحمل مخصص لإسقاط غرسة PlugX .
"تحاول الجهات الفاعلة في التهديد إخفاء حركة مرور [C2] كحركة مرور تحديث لـ Microsoft عن طريق إضافة رؤوس" Host: www.asia.microsoft.com" و"User-Agent: Windows-Update-Agent"،" حسبما أشارت CSIRT-CTI، تعكس حملة مايو 2023 التي كشفت عنها Lab52.
من ناحية أخرى، تستخدم الحملة الثانية التي تمت ملاحظتها في وقت سابق من هذا الشهر صورة قرص ضوئي ("ASEAN Notes.iso") تحتوي على اختصارات LNK لبدء عملية متعددة المراحل تستخدم محملًا مخصصًا آخر يسمى TONESHELL لنشر PlugX من موقع الآن- خادم C2 لا يمكن الوصول إليه.
تجدر الإشارة إلى أن سلسلة هجمات مماثلة منسوبة إلى Mustang Panda تم اكتشافها سابقًا بواسطة EclecticIQ في فبراير 2023 في عمليات اقتحام استهدفت مؤسسات الحكومة والقطاع العام في جميع أنحاء آسيا وأوروبا.
وقالت CSIRT-CTI : "في أعقاب هجمات المتمردين في شمال ميانمار [في أكتوبر 2023]، أعربت الصين عن قلقها بشأن تأثيرها على طرق التجارة والأمن حول الحدود بين ميانمار والصين".
"من المعروف أن عمليات Taurus الفخمة تتماشى مع المصالح الجيوسياسية للحكومة الصينية، بما في ذلك عمليات التجسس الإلكتروني المتعددة ضد ميانمار في الماضي."
