Posté le mars 25, 2022 à 8:38
MUSTANG PANDA PROFITE DE LA CRISE UKRAINIENNE POUR LANCER DES ATTAQUES DE PHISHING
Les cybercriminels sont toujours à la recherche d’opportunités pour lancer leur campagne de piratage afin de voler ou de soutirer de l’argent à leurs victimes. Au pic de la pandémie de Covid-19, plusieurs rapports de cybersécurité ont révélé que les actions de menace contre les individus et les organisations ont augmenté.
Cette fois-ci, pendant la crise en Ukraine, la situation est toujours la même. De nouvelles menaces ont été découvertes, et l’une d’entre elles provient d’un groupe de hackers lié à la Chine, connu sous le nom de Mustang Panda.
Selon les analystes de sécurité, le groupe de menace mène une campagne malveillante qui dure depuis pas moins de huit mois. Les chercheurs ont maintenant découvert une nouvelle variante du logiciel malveillant Korplug, connue sous le nom de Hodur, qui est diffusée par le même groupe de menaces.
Le Mustang Panda, également repéré sous le nom de TA416, est connu pour être associé à des attaques d’espionnage et de phishing qui ont visé des diplomates européens.
Le logiciel malveillant personnalisé Korplug est utilisé par de nombreux acteurs de menaces, mais pas particulièrement par le groupe Mustang. Le logiciel malveillant a été découvert dans la nature pour la première fois en 2020 à la suite d’un rapport qui examinait les activités des hackers chinois contre des cibles australiennes.
Dans le dernier exploit qui a utilisé le logiciel malveillant, la société de sécurité ESET a analysé que le groupe de menaces Mustang Panda se concentre davantage sur les instituts de recherche, les fournisseurs de services Internet (FAI) et les diplomates européens. Leur modus operandi général consiste à utiliser des faux documents comme appâts, bien qu’ils aient commencé à intégrer d’autres stratégies.
Le groupe de menaces a continuellement mis à jour ses leurres
Les hackers ont mis à jour leurs appâts plusieurs fois depuis août 2021, date à laquelle la campagne aurait commencé. Ils ont rapidement pris le train du piratage lié au Covid-19 lorsque la pandémie était à son apogée. Aujourd’hui, le groupe a changé d’orientation pour se concentrer sur les campagnes liées à l’invasion de l’Ukraine par la Russie. Selon le rapport, bien qu’ils soient toujours très actifs, notamment en ce qui concerne les restrictions de voyage liées au Covid-19, la plupart de leurs formats tirent désormais parti de la crise Ukrainienne.
Les pays visés par la présente campagne sont la Grèce, la Russie, le Myanmar, Chypre, la Mongolie, le Vietnam, le Sud-Soudan et l’Afrique du Sud.
La portée de la cible reste inchangée
Le champ d’action de Mustang Panda est resté inchangé depuis le début de sa campagne. Cependant, le groupe de menaces a recentré son attention, en renouvelant ses appâts et en améliorant sa gamme d’outils. Selon le rapport d’ESET, le groupe a déployé de nouvelles variantes de Korplug et des chargeurs personnalisés. Bien que les variantes utilisent toujours le chargement latéral de DLL, de nouvelles fonctionnalités ont été ajoutées afin d’assurer un obscurcissement beaucoup plus important de l’ensemble de la chaîne d’infection.
Le Korplug crypté ainsi que le module malveillant sont téléchargés avec un exécutable légitime et un document piège. Ces modules sont maintenant combinés par les acteurs de la menace pour éviter la détection par les logiciels de sécurité.
La DLL personnalisée profite du fichier SmadAV, qui est l’exécutable légitime signé numériquement, pour exploiter un bug connu de chargement latéral.
ESET a noté que la majorité des fonctions exploitées par le chargeur sont fausses, sauf une qui charge la nouvelle variante de Korplug.
Le groupe de menaces peut devenir plus sophistiqué
Bien que Korplug soit un cheval de Troie d’accès à distance (RAT), sa fonctionnalité n’a pas été analysée en profondeur car il existe de nombreuses variantes créées par chaque APT utilisant ce cheval de Troie.
Cependant, ESET a identifié que la variante utilisée par Mustang Panda dans la présente campagne présente des caractéristiques similaires à celles de THOR, une variante de PlugX découverte l’année dernière par les chercheurs de l’Unité 42.
D’après les informations connues sur la variante de Korplug, elle est décryptée en mémoire, mais seule une forme cryptée a été écrite sur le disque. De plus, la variante contient des chaînes cryptées alors que des mesures anti-exécution existent et que les appels de fonction de l’API Windows sont également obfusqués.
Selon le rapport, l’ajout d’une nouvelle entrée de registre dans « Software\Microsoft\Windows\CurrentVersion\Run » permet d’obtenir la persistance.
Mais l’aspect RAT de Korplug repère les ajouts de cette nouvelle version, où ses auteurs ont ajouté davantage de fonctionnalités et de commandes.
Le groupe peut également élargir le champ de ses cibles
Tout en expliquant le logiciel malveillant, ESET a ajouté que le groupe Mustang Panda pourrait améliorer ses méthodes opérationnelles et devenir plus sophistiqué à l’avenir. Les chercheurs affirment que Mustang continuera à améliorer sa boîte à outils, ce qui les rendra plus puissants et plus dangereux. Par conséquent, les utilisateurs doivent être très prudents face aux tentatives de phishing qui semblent très authentiques, car il s’agit de leur forme d’entrée la plus courante. En outre, le groupe peut élargir son champ de ciblage, étant donné qu’il s’agit d’un groupe de menaces sponsorisé par la Chine et ayant une grande expérience du cyberespionnage.
