Tin tặc Trung Quốc sử dụng cửa hậu tùy chỉnh mới để tránh bị phát hiện

Nhóm tấn công gián điệp mạng Trung Quốc Mustang Panda được nhìn thấy đang triển khai một cửa hậu tùy chỉnh mới có tên 'MQsTTang' trong các cuộc tấn công bắt đầu từ năm nay.

Mustang Panda là một nhóm mối đe dọa liên tục nâng cao (APT) được biết là nhắm mục tiêu vào các tổ chức trên toàn thế giới trong các cuộc tấn công đánh cắp dữ liệu bằng cách sử dụng các phiên bản tùy chỉnh của phần mềm độc hại PlugX. Các tác nhân đe dọa còn được gọi là TA416 và Chủ tịch Đồng.

Phần mềm độc hại cửa hậu MQsTTang mới của Mustang Panda dường như không dựa trên phần mềm độc hại trước đó, cho thấy tin tặc có khả năng đã phát triển phần mềm này để tránh bị phát hiện và khiến việc quy kết khó khăn hơn.

Các nhà nghiên cứu của ESET đã phát hiện ra MQsTTang trong một chiến dịch bắt đầu vào tháng 1 năm 2023 và vẫn đang tiếp diễn. Chiến dịch nhắm vào các tổ chức chính phủ và chính trị ở châu Âu và châu Á, tập trung vào Đài Loan và Ukraine.

Bản đồ nhiệt mục tiêu chiến dịch mới nhất

Việc phân phối phần mềm độc hại xảy ra thông qua các email lừa đảo trực tuyến, trong khi tải trọng được tải xuống từ kho GitHub do người dùng được liên kết với các chiến dịch Mustang Panda trước đó tạo ra.

Phần mềm độc hại này là tệp thực thi được nén bên trong kho lưu trữ RAR, được đặt tên theo chủ đề ngoại giao, chẳng hạn như bản quét hộ chiếu của các thành viên cơ quan ngoại giao, ghi chú của đại sứ quán, v.v.

Cửa hậu MQsTTang mới

ESET mô tả MQsTTang là một cửa hậu "barebones" cho phép kẻ đe dọa thực thi các lệnh từ xa trên máy của nạn nhân và nhận đầu ra của chúng.

Báo cáo của ESET cho biết: “Cửa hậu MQsTTang mới này cung cấp một loại vỏ điều khiển từ xa mà không có bất kỳ chuông và còi nào liên quan đến các họ phần mềm độc hại khác của nhóm”  .

Khi khởi chạy, phần mềm độc hại tạo một bản sao của chính nó với đối số dòng lệnh thực hiện các tác vụ khác nhau, chẳng hạn như bắt đầu liên lạc C2, thiết lập tính bền vững, v.v.

Các tác vụ được thực thi bởi phần mềm độc hại 

Tính bền vững được thiết lập bằng cách thêm khóa đăng ký mới trong "HKCU\Software\Microsoft\Windows\CurrentVersion\Run", khóa này sẽ khởi chạy phần mềm độc hại khi khởi động hệ thống. Sau khi khởi động lại, chỉ có tác vụ giao tiếp C2 được thực thi.

Chuỗi tấn công 

Một đặc điểm bất thường của cửa hậu mới là sử dụng giao thức MQTT để liên lạc với máy chủ điều khiển và chỉ huy.

MQTT cung cấp cho phần mềm độc hại khả năng phục hồi tốt đối với các cuộc triệt phá C2, che giấu cơ sở hạ tầng của kẻ tấn công bằng cách chuyển tất cả các thông tin liên lạc qua một nhà môi giới và làm cho nó ít có khả năng bị phát hiện bởi những người bảo vệ đang tìm kiếm các giao thức C2 được sử dụng phổ biến hơn.

Người môi giới ngồi giữa C2 và máy nạn nhân 

Để tránh bị phát hiện, MQsTTang kiểm tra sự hiện diện của trình gỡ lỗi hoặc công cụ giám sát trên máy chủ và nếu tìm thấy bất kỳ công cụ nào, nó sẽ thay đổi hành vi tương ứng.

Một hoạt động khác của Mustang Panda gần đây đã được quan sát từ tháng 3 đến tháng 10 năm 2022 bởi các nhà phân tích tại Trend Micro, người đã báo cáo rằng họ đã thấy các mục tiêu nhắm mục tiêu nặng nề nhằm vào các tổ chức của Úc, Nhật Bản, Đài Loan và Philippines.

Trong chiến dịch đó, nhóm đe dọa đã sử dụng ba chủng phần mềm độc hại là PubLoad, ToneIns và ToneShell, không có trong chiến dịch năm 2023 do ESET phát hiện.

Liệu MQsTTang có trở thành một phần trong kho vũ khí dài hạn của nhóm hay không hay liệu nó có được phát triển riêng cho một hoạt động cụ thể hay không vẫn còn phải xem.

Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.