olarak bilinen Çin merkezli gelişmiş kalıcı tehdit (APT) Mustang Panda daha önce belgelenmemiş bir varyantı kullanan devam eden bir siber casusluk kampanyasına bağlandı. PlugX virüslü makinelerde uzaktan erişim truva atı.
Slovak siber güvenlik firması ESET, yeni versiyonun adını aldı HodurTemmuz 2021’de ortaya çıkan THOR adlı başka bir PlugX (aka Korplug) varyantına benzerliği nedeniyle.
ESET kötü amaçlı yazılım araştırmacısı Alexandre Côté Cyr “Kurbanların çoğu Doğu ve Güneydoğu Asya’da, ancak birkaçı Avrupa’da (Yunanistan, Kıbrıs, Rusya) ve Afrika’da (Güney Afrika, Güney Sudan)” dedim The Hacker News ile paylaşılan bir raporda.
“Bilinen kurbanlar arasında araştırma kuruluşları, internet servis sağlayıcıları (ISS’ler) ve çoğunlukla Doğu ve Güneydoğu Asya’da bulunan Avrupa diplomatik misyonları yer alıyor.”
TA416, HoneyMyte, RedDelta veya PKPLUG olarak da bilinen Mustang Panda, siber casusluk grubu Bu, öncelikle Moğolistan’a özel olarak odaklanan sivil toplum kuruluşlarını hedef almasıyla bilinir.
En az Ağustos 2021’e kadar uzanan en son kampanya, Avrupa’da devam eden olaylar ve Ukrayna’daki savaşla ilgili sürekli gelişen sahte belgeler yığınını içeren bir uzlaşma zincirinden yararlanıyor.
ESET, “Diğer kimlik avı cazibeleri, güncellenmiş COVID-19 seyahat kısıtlamalarından, Yunanistan için onaylanmış bir bölgesel yardım haritasından ve Avrupa Parlamentosu ve Konsey Yönetmeliğinden bahsediyor.” Dedi. “Son cazibe, Avrupa Konseyi’nin web sitesinde bulunan gerçek bir belgedir. Bu, bu kampanyanın arkasındaki APT grubunun güncel olayları takip ettiğini ve bunlara başarılı ve hızlı bir şekilde tepki verebildiğini gösteriyor.”
Kullanılan kimlik avı cazibesinden bağımsız olarak, enfeksiyonlar, güvenliği ihlal edilmiş Windows ana bilgisayarında Hodur arka kapısının konuşlandırılmasıyla sonuçlanır.
“Bu kampanyada kullanılan varyant, THOR varyantıyla pek çok benzerlik taşıyor, bu yüzden ona Hodur adını verdik” dedi. “Benzerlikler arasında, aynı format olan SoftwareCLASSESms-pu kayıt defteri anahtarının kullanımı yer alır. [command-and-control] yapılandırmadaki sunucular ve Statik pencere sınıfının kullanımı.”
Hodur, kendi adına, implantın kapsamlı sistem bilgilerini toplamasını, rastgele dosyaları okuyup yazmasını, komutları yürütmesini ve uzak bir cmd.exe oturumu başlatmasını sağlayan çeşitli komutları işlemek üzere donatılmıştır.
ESET’ten elde edilen bulgular, her ikisi de bu ayın başlarında güncellenmiş bir PlugX varyantını dağıtmak için bir Mustang Panda kampanyasını detaylandıran Google’ın Tehdit Analizi Grubu (TAG) ve Proofpoint’in kamuya açıklamalarıyla örtüşüyor.
Côté Cyr, “Bu kampanyada kullanılan tuzaklar, Mustang Panda’nın dünya olaylarına ne kadar hızlı tepki verebildiğini bir kez daha gösteriyor.” dedi. “Bu grup ayrıca, Korplug’ı dağıtmak için trident indiricilerin imzasını kullanması da dahil olmak üzere araçlarını yinelemeli olarak geliştirme yeteneğini gösteriyor.”
Popular Articles
- 13 Jul iPhone’a Özel Kılıf Şeklinde Powerbank
- 06 Aug Tavuk Yemenin En Keyifli Hali: Tavuk Şiş Nasıl Yapılır?
- 17 Jul Özge Özdemir Yazio: Öğrenme Çukura Düşünce mi Başlar?
- 22 Jul 30 Nisan On Numara Sonuçları Açıklandı! İşte On Numarada Kazandıran Numaralar ve Sorgulama Sayfası
- 13 Aug Kar maskeli soygunculara 72 yıl hapis talebi - Yaşam Haberleri
Latest Articles
- 14 Jul Lenovo dünyanın ilk 5G dizüstü bilgisayarı ile karşımızda
- 02 Aug Huawei P30 Pro’nun Kardeşi Gibi Görünen 100 Dolarlık Telefon Infinix Hot 8 Duyuruldu
- 03 Aug The Sandman 2.Sezondan İlk Tanıtım Paylaşıldı
- 22 Jul Yunanistanda olaylı gece! Olympiakos - Panathinaikos maçında saha karıştı, Ergin Ataman bir kez daha ihraç edildi...
- 03 Aug En iyi Apple fırsatları: Bu hafta sonu Best Buyda AirPodlar, MacBooklar ve iPadlerde tasarruf edin