¿CÓMO PROTEGER NUESTRA INFORMACIÓN EN LA NUEVA ERA DIGITAL?
19 febrero, 2022
CyberGuerra, ¿Estamos preparados?
Cyberseguridad: Mustang Panda continua apuntando a países de Europa y Asia Pacífico, utilizando los eventos geopolíticos actuales en su beneficio. Su cadena de ataque se mantiene constante, con el uso continuo de archivos comprimidos, archivos de acceso directo, cargadores maliciosos y el uso de malware PlugX. Basado en el señuelo cubierto en este blog, el objetivo de esta operación en particular parece ser recopilar información confidencial de países europeos y estados de Asia, que podrían estar apoyando a los países occidentales. ¿Las empresas estan preparadas para una Cyberguerra?
Resumen
Como parte de los esfuerzos continuos de búsqueda y monitoreo con respecto al grupo de amenazas persistentes avanzadas (APT) Mustang Panda , el equipo de BlackBerry Threat Research and Intelligence encontró recientemente un interesante archivo RAR titulado » Orientación política para el nuevo enfoque de la UE hacia Rusia.rar «.
Este archivo captó nuestro interés debido a la actual situación geopolítica en Europa del Este. Un examen de su contenido reveló un documento señuelo que coincidía con la convención de nomenclatura del RAR, junto con componentes adicionales que a menudo se ven como parte de una cadena de infección típica de PlugX .
Al profundizar en la infraestructura de red asociada y desviar los artefactos de red relacionados, se descubrieron archivos e infraestructura adicionales. Estos se ajustaban a tácticas, técnicas y procedimientos (TTP) similares y parecían ser parte de una campaña más grande de este mismo actor de amenazas dirigida a múltiples entidades, tanto gubernamentales como privadas, en varias industrias y en muchos países del mundo. En este informe, documentamos lo que encontramos.
Puedes leer nuestra publicación anterior sobre Mustang Panda aquí.
Armado y descripción técnica
| Weapons | DLL Loaders + encrypted .dat payloads |
| Attack Vector | Current event-themed phishing lures |
| Network Infrastructure | Web based command-and-control (C2) |
| Targets | Mining, Education, Telecoms, Financial, CDN Companies, Internet Service Providers, Internet Security Firms, Web Hosting Companies |
Análisis técnico
Contexto
Mustang Panda, también conocido como HoneyMyte, Bronze President o Red Delta, es uno de los grupos APT más activos que operan en el panorama de amenazas en la actualidad, con una amplia variedad de campañas documentadas desde 2012 . Se atribuye públicamente a actores de amenazas de ciberespionaje con sede en China.
Perfecciona continuamente sus capacidades, pero su enfoque central sigue siendo consistente, con el uso de señuelos temáticos relacionados con eventos actuales . Estos contienen documentos señuelo y aplicaciones legítimas que son susceptibles de secuestro de orden de búsqueda de DLL.
Esto se aprovecha para obligar a los objetivos a ejecutar un cargador malicioso para entregar una carga útil de PlugX. El archivo RAR, » Orientación política para el nuevo enfoque de la UE hacia Rusia.rar «, se alineó con numerosos TTP relacionados con Mustang Panda que han sido documentados previamente por BlackBerry y otros proveedores.
vector de ataque de panda mustang
Un archivo RAR es un archivo que contiene uno o más archivos comprimidos con compresión RAR. Como se ha visto en campañas recientes, el uso de archivos es un vector de infección común para Mustang Panda. El tema político del archivo RAR es una táctica empleada por el actor de amenazas para obligar a los objetivos a abrir el archivo. Una vez que el archivo esté abierto, la víctima verá un directorio llamado “_” y un archivo de acceso directo con el mismo señuelo de temática política.
El archivo .LNK usa una extensión de archivo doble en un intento de disfrazar el archivo de acceso directo como un documento con la esperanza de que el objetivo lo abra, en el proceso de ejecución del archivo de acceso directo. Esta utilización de extensiones dobles ha sido utilizada por Mustang Panda en el pasado como una forma de convencer a los usuarios para que ejecuten el archivo de acceso directo.
El archivo de acceso directo contiene un comando que inicia la ejecución inicial de la cadena de ataque:
“C:\Windows\System32\cmd.exe /c «_\___\_\___\______\_____\__\test11.bpu||(forfiles /^P %USERPROFILE%\ /S /^M «Political Guidance for the new EU approach towards Russia.rar» /C «cmd /c (c:\progra~1\7-Zip\7z x -y -aoa @path||c:\progra~2\7-Zip\7z x -y -aoa @path”
El archivo LNK busca ejecutar «test11.bpu», que es un archivo ejecutable portátil (PE) legítimo llamado «ClassicExplorerSettings.exe» que pertenece a Classic Shell, que es una utilidad gratuita que se utiliza para personalizar la apariencia del sistema Windows® .
| Hashes (md5, sha-256) | 7177ab83a40a4111eb0170a76e92142bf70d3601fb456a18ed7e7ed599d10783447016da78234f5dca61b8bd3a084a15 |
| File Name | Political Guidance for the new EU approach towards Russia.rar |
| File Size | 567144 bytes |
| Created | 2022-11-01 02:32 |
| Last Modified | 1979-11-29 13:00 |
Armamento
La cadena de ataque de Mustang Panda depende de la técnica de carga lateral de DLL utilizada anteriormente en su campaña dirigida a Myanmar , donde el actor de la amenaza coloca un ejecutable legítimo y una carga útil uno al lado del otro, una técnica que está diseñada para aprovechar el orden de búsqueda de un programa tan pronto como se haya invocado la aplicación legítima. Una vez que se ejecuta el archivo de acceso directo, se iniciará la aplicación legítima y también se invocará el cargador de DLL malicioso.
“ClassicExplorer32.dll” se planta en el mismo directorio que “test11.bpu” para abusar del orden de búsqueda una vez que se invoca el ejecutable. El propósito de la DLL es cargar el archivo «ClassicExplorerLog.dat» y ejecutar el shellcode dentro de él. Curiosamente, el cargador utilizado parece tener un cambio sutil en la forma en que se descifra y ejecuta el shellcode.
Los cargadores DLL de Mustang Panda informados por Secureworks en septiembre estaban utilizando la API EnumThreadWindows para pasar la ejecución al inicio del archivo de carga útil malicioso. En estos ejemplos más recientes, el cargador de DLL usa la API de EnumSystemCodePagesW para ejecutar el código de shell de manera similar. Se pasa un puntero al shellcode ya descifrado a la API de EnumSystemCodePagesW como una función de devolución de llamada definida por la aplicación, como se ve en la Figura 3 a continuación. Kienbigmummy mencionó el uso de la API EnumSystemCodePagesW en un hilo de Twitter y también se vio en una presentación de Black Hat Asia .. El propósito del shellcode es descifrar y ejecutar la carga útil maliciosa final, PlugX, en la memoria.
| Hashes (md5, sha-256) | ae105528a6c5758ccf18705a8c208a97b44cc792ae7f58e9a12a121c14a067ee1dd380df093339b4bf2b02df5937b2af |
| ITW File Name | ClassicExplorerSettings.exe |
| Compilation Stamp | 2017-08-13 15:49:42 UTC |
| File Type/Signature | PE32 executable for MS Windows (GUI) Intel 80386 32-bit |
| File Size | 98616 bytes |
| Hashes (md5, sha-256) | 6d6a0ca7c7343eedfffeb697229a49298e27900949a087349488d82e7434937bd253d31749041bb0233000a7339fc3e1 |
| ITW File Name | ClassicExplorer32.dll |
| Compilation Stamp | 2022-10-25 09:32:51 UTC |
| File Type/Signature | PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bit |
| File Size | 115000 bytes |
| Hashes (md5, sha-256) | a95f48acd5da4beddd4115e12653c23c9c1ea202237726984b754d17528cfab0212ff9587bbffaf01c8535277b01c24a |
| ITW File Name | ClassicExplorerLog.bin, ClassicExplorerLog.dat |
| File Type/Signature | DATA File |
| File Size | 614718 bytes |
Una vez que se ha descifrado la carga útil de PlugX y se pasa la ejecución a la carga útil, podemos ver que la configuración también se descifra en la memoria. Aquí podemos ver la dirección IP 5[.]34[.]178[.]156, el ID de campaña de “test222”, así como el nombre del documento señuelo que se muestra a la víctima.
Infraestructura de red
Se vio que la dirección IP C2, 5[.]34[.]178[.]156, alojaba un servicio en el puerto 443 con un certificado SSL único. El certificado SSL se vio por primera vez asociado con esta IP desde el período 2022-10-07 hasta 2022-10-30.
| Nombre de dominio | Hashes de muestras | Primero/Último visto/ASN |
| 5[.]34[.]178[.]156 | a95f48acd5da4beddd4115e12653c23c9c1ea202237726984b754d17528cfab0212ff9587bbffaf01c8535277b01c24a | 2022-07-192022-10-31ASN:204957 |
| CN = 45.134.83.29, OU = Certificado de demostración TLS, O = Servicio de transferencia de archivos, 2.5.4.46 = # 13186d67332f6d4c506d4b335966582f4d614a43732f6d673d3dEmisor – CN=CTA Root CA, O=TEST TEST TEST, 2.5.4.46=#13185843794c4248705065757479714b4344383866614e773d3d |
Infraestructura vinculada adicional
Al girar sobre el certificado, se mostraron otras 15 direcciones IP que utilizaban el mismo certificado SSL. Cinco de estos se usaban como servidores C2 para la misma cadena de ataque que entregaba señuelos/señuelos en forma de archivos RAR, con la esperanza de que las víctimas ejecutaran el malware PlugX en la memoria.
Todos los señuelos variaron pero todos alineados con las campañas anteriores asociadas con Mustang Panda.
Objetivos
Los objetivos anteriores de Mustang Panda han incluido organizaciones gubernamentales y no gubernamentales (ONG) en muchos lugares del mundo, desde varios estados del sudeste asiático hasta la Unión Europea, EE. UU. y más allá. Teniendo en cuenta los señuelos de señuelo encontrados, así como la telemetría de la red correspondiente, encontramos que el actor de amenazas apuntaba a áreas en Europa y Asia-Pacífico, específicamente Vietnam. Esta no es una lista exhaustiva ya que hasta ahora no hemos podido identificar las industrias de todas las víctimas.
Conclusiones
Mustang Panda continúa utilizando señuelos bien pensados relacionados con eventos actuales para entregar el malware PlugX del que el grupo es sinónimo. Si bien Mustang Panda se ha mantenido dentro de sus TTP típicos con PlugX, incluidos señuelos personalizados, extensiones dobles y reutilización de infraestructura, realizan cambios sutiles en el camino con la esperanza de evadir la detección. Los datos históricos asociados con el certificado SSL dinámico muestran que se vio por primera vez el 2022-02-27. Todavía se está utilizando activamente en el momento de escribir este artículo.
Mustang Panda tiene un historial de apuntar a muchas entidades diferentes en todo el mundo, pero su objetivo se alinea con los intereses del gobierno chino. A partir de los señuelos asociados, los datos de NetFlow y otras características, la UE y APAC han sido sus principales objetivos últimamente.
Indicadores de Compromiso Referenciales (IoCs)
Archivo principal
| Nombre del archivo | Orientación política para el nuevo enfoque de la UE hacia Rusia.rar |
| SHA256 | F70d3601fb456a18ed7e7ed599d10783447016da78234f5dca61b8bd3a084a15 |
| Tipo de archivo | RAR |
| Indicador de red (C2) | 5[.]34.178.156 |
Indicadores de red
| C2 |
| 104[.]42.43.178 |
| 64[.]34.216.50 |
| 45[.]147.26.45 |
| 45[.]32.101.7 |
| 64[.]34.216.44 |
| 185[.]80.201.4 |
| 103[.]192.226.87 |
| 194[.]124.227.90 |
| 43[.]254.218.128 |
| 62[.]233.57.49 |
Mapeo detallado de MITRE ATT&CK®
| Táctica | Técnica | Nombre de la subtécnica |
| Ejecución | T1203 | Explotación para la ejecución del cliente |
| Ejecución | T1106 | API nativa |
| Ejecución | T1129 | Módulo compartido |
| Ejecución | T1559.001 | Modelo de objetos componentes |
| Ejecución | T1204.002 | Archivo malicioso |
| Ejecución | T1059.003 | Consola de comandos de Windows |
| Persistencia/Escalada de privilegios | T1547.001 | Claves de ejecución del registro/carpeta de inicio |
| Evasión de defensa | T1574.002 | Carga lateral de DLL |
| Evasión de defensa | T1027 | Archivos o información ofuscados |
| Evasión de defensa | T1036 | enmascarado |
| Evasión de defensa | T1036.007 | Extensión de archivo doble |
| Evasión de defensa | T1218 | Ejecución de proxy binario del sistema |
| Evasión de defensa | T1564.001 | Archivos y directorios ocultos |
| Evasión de defensa | T1140 | Desofuscar Decodificar archivos o información |
| Descubrimiento | T1057 | Descubrimiento de procesos |
| Descubrimiento | T1082 | Descubrimiento de información del sistema |
| Descubrimiento | T1518 | Descubrimiento de software |
| Descubrimiento | T1033 | Descubrimiento de propietario/usuario del sistema |
| Recopilación | T1560.001 | Archivar a través de la utilidad |
| Persistencia | T1547.009 | Atajo |
| Comando y control | T1071.001 | Protocolos web |
Lectura relacionada:
