Güvenlik analistleri, en az sekiz aydır Korplug kötü amaçlı yazılımın Hodur adlı yeni bir çeşidi ve özel yükleyiciler ile çalışan Çin bağlantılı tehdit aktörü Mustang Panda’nın kötü niyetli bir kampanyasını ortaya çıkardı.
TA416 olarak da izlenen Mustang Panda’nın Çin ile uyumlu çıkarlara hizmet ettiği biliniyor ve yakın zamanda ilişkili Avrupalı diplomatları hedef alan kimlik avı ve casusluk operasyonlarıyla.
Korplug, bu özel tehdit aktörü tarafından yaygın olarak kullanılan ancak özel olarak kullanılmayan özel bir kötü amaçlı yazılımdır. 2020 raporu Çinli bilgisayar korsanlarının Avustralya hedeflerine karşı faaliyetlerini inceledi.
Siber güvenlik şirketi tarafından analiz edilen, bilinen en son kampanyada ESETMustang Panda, Avrupalı diplomatlara, ISS’lere (İnternet Servis Sağlayıcıları) ve araştırma enstitülerine odaklanıyor ve sahte belgelerle kimlik avı yemleri kullanıyor.
Bu kampanyanın başladığına inanılan Ağustos 2021’den bu yana, bilgisayar korsanları cazibelerini birkaç kez yenilediler, en sonuncuları Rusya’nın Ukrayna’yı işgali, COVID-19 seyahat kısıtlamaları veya Avrupa Birliği Konseyi’nin web sitesinden kopyalanan belgeler ile ilgili konulardı.
Bu kampanyada hedeflenen ülkeler Rusya, Yunanistan, Kıbrıs, Güney Afrika, Vietnam, Moğolistan, Myanmar ve Güney Sudan’dır.
Aynı hedefler, yeni araçlar
Mustang Panda’nın hedefleme kapsamı son birkaç yılda büyük ölçüde değişmedi, bu nedenle tehdit grubu esas olarak cazibesini yenilemek ve araç setini geliştirmekle meşgul.
ESET, ayrıntılı özel yükleyicilerin ve DLL yan yüklemesini kullanan yeni Korplug (Hodur) varyantlarının örneklendiğini bildiriyor, ancak şimdi tüm bulaşma zincirinde çok daha ağır gizleme ve analiz önleme sistemleri içeriyor.
Kötü amaçlı modül ve şifrelenmiş Korplug yükü, sahte belge ve meşru bir yürütülebilir dosya ile birlikte indirilir ve algılamadan kaçınmak için DLL yan yükleme için yürütmelerini birleştirir.
Özel DLL yükleyici, dijital olarak imzalanmış meşru yürütülebilir dosyadan, bu durumda bir SmadAV dosyasından yararlanır ve yandan yükleme için bilinen bir güvenlik açığından yararlanır.
Yükleyici tarafından dışa aktarılan çoklu işlevler, yeni Korplug varyantını yükleyen işlev olan biri dışında, sahtedir.
Yeni bir arka kapı versiyonu
Korplug, potansiyel olarak onu kullanan her APT tarafından yaratılan çok sayıda varyant olduğundan, işlevselliği şimdiye kadar kapsamlı bir şekilde analiz edilmemiş bir uzaktan erişim truva atıdır (RAT).
Bu kampanyada Mustang Panda tarafından kullanılan, tarafından keşfedilen bir PlugX varyantı olan THOR’a çok benziyor. Ünite 42 Geçen yıl araştırmacılar.
Korplug yüklerinin şifresi bellekte çözülürken diske yalnızca şifrelenmiş bir form yazılır. Ek olarak, tüm dizeler şifrelenir ve Windows API işlev çağrıları gizlenir, ayrıca yürütmeye karşı önlemler de mevcuttur.
Kalıcılık, “Software\Microsoft\Windows\CurrentVersion\Run” klasörüne yeni bir kayıt defteri girişi eklenerek sağlanırken, kötü amaçlı yazılım bileşenlerini barındıran yeni oluşturulan dizinler “gizli” ve “sistem” olarak işaretlenir.
Bu yeni sürümün eklemeleri, yazarlarının daha fazla komut ve özellik eklediği Korplug’ın RAT özelliğinde görülüyor.
Belirli Korplug varyantının ilk işleyicisi tarafından desteklenen komutlar şunlardır:
- ping atmak – komutları dinlemeye başlayın
- GetSystemInfo – sistem bilgilerini toplamak ve göndermek
- DinleKonu – ikinci işleyici için komutları dinleyen yeni bir tehdit başlatın
- Bağlantıyı Sıfırla – C2 bağlantısını sıfırlayın
- Kaldır – eklenen kayıt defteri anahtarlarını silin, tüm kötü amaçlı yazılım bileşenlerini kaldırın ve oluşturulan klasörleri silin
- Durmak – kayıt defteri anahtarını devre dışı bırakın ve çıkın
İkinci işleyici, RAT’ın işlevselliğini ilgilendiren ve bu nedenle temel keşif için kullanılan birinci gruptan daha gelişmiş olan farklı bir komut kümesini dinler.
Bu ikinci grubun listesi kapsamlıdır, ancak bazı gösterge örnekleri, sürücüleri ve dizinleri listeleme, dosyaları okuma ve yazma, gizli bir masaüstünde komutları yürütme ve etkileşimli bir uzak cmd.exe oturumu başlatma komutlarıdır.
ESET, Mustang Panda’nın araç setini geliştirmeye devam ederek onu daha güçlü ve daha gizli hale getireceğine ve çok gerçekçi görünen kimlik avı e-postalarına özel dikkat gösterilmesi gerektiğine inanıyor.
Daha yüksek siyasi casusluk çıkarlarına hizmet etme belirtileri gösteren Çinli bir aktör olarak, hedefleme kapsamı nispeten sabit kalmalıdır.