in ,

La nouvelle campagne de piratage de Mustang Panda cible les diplomates et les FAI

Les analystes de la sécurité ont découvert une campagne malveillante de l’acteur de menace lié à la Chine Mustang Panda, qui fonctionne depuis au moins huit mois avec une nouvelle variante du malware Korplug appelée Hodur et des chargeurs personnalisés.

Également suivi sous le nom de TA416, Mustang Panda est connu pour servir les intérêts alignés sur la Chine et a récemment été associé à des opérations de phishing et d’espionnage ciblant des diplomates européens.

Korplug est un malware personnalisé largement utilisé mais pas exclusivement par cet acteur de menace particulier, exposé pour la première fois dans un rapport de 2020 qui examinait l’activité des pirates chinois contre des cibles australiennes.

Dans la dernière campagne connue, analysée par la société de cybersécurité  ESET , Mustang Panda se concentre sur les diplomates européens, les FAI (fournisseurs d’accès Internet) et les instituts de recherche, en utilisant des leurres de phishing avec des documents leurres.

Depuis août 2021, date à laquelle cette campagne aurait commencé, les pirates ont renouvelé leurs leurres à plusieurs reprises, les derniers étant des sujets liés à l’invasion russe de l’Ukraine, aux restrictions de voyage liées au COVID-19 ou à des documents copiés du site Web du Conseil de l’Union européenne.

Les pays ciblés par cette campagne sont la Russie, la Grèce, Chypre, l’Afrique du Sud, le Vietnam, la Mongolie, le Myanmar et le Soudan du Sud.

Mustang Panda cible la carte thermique
Mustang Panda cible la carte thermique  (ESET)

Mêmes cibles, nouveaux outils

La portée de ciblage de Mustang Panda est restée largement inchangée au cours des deux dernières années, de sorte que le groupe de menaces est principalement occupé à rafraîchir ses leurres et à améliorer son ensemble d’outils.

ESET rapporte avoir échantillonné des chargeurs personnalisés élaborés et de nouvelles variantes de Korplug (Hodur) qui utilisent toujours le chargement latéral de DLL, mais disposent désormais de systèmes d’obscurcissement et d’anti-analyse beaucoup plus lourds présents sur l’ensemble de la chaîne d’infection.

Le module malveillant et la charge utile Korplug chiffrée sont téléchargés avec le document leurre et un exécutable légitime, combinant leur exécution pour le chargement latéral de DLL afin d’échapper à la détection.

La chaîne de chargement Korplug
Chaîne de chargement de Korplug (ESET)

Le chargeur DLL personnalisé exploite l’exécutable légitime signé numériquement, dans ce cas, un fichier SmadAV, et exploite une vulnérabilité connue pour le chargement latéral.

Les multiples fonctions exportées par le chargeur sont fausses, sauf une, qui est la fonction qui charge la nouvelle variante Korplug.

Une nouvelle version de porte dérobée

Korplug est un cheval de Troie d’accès à distance (RAT) dont la fonctionnalité n’a pas été analysée en profondeur jusqu’à présent, potentiellement parce qu’il existe de nombreuses variantes créées par chaque APT qui l’utilise.

Celui utilisé par Mustang Panda dans cette campagne est très similaire à THOR, une variante PlugX découverte par les chercheurs de l’ Unité 42 l’année dernière.

Les charges utiles Korplug sont déchiffrées en mémoire, tandis que seule une forme chiffrée est écrite sur le disque. De plus, toutes les chaînes sont cryptées et les appels de fonction de l’API Windows sont masqués, tandis que des mesures anti-exécution existent également.

Obfuscation des appels de l'API Windows
Obfuscation des appels de l’API Windows (ESET)

La persistance est obtenue en ajoutant une nouvelle entrée de registre à “Software\Microsoft\Windows\CurrentVersion\Run”, tandis que les répertoires nouvellement créés qui hébergent les composants malveillants sont marqués comme “caché” et “système”.

Les ajouts de cette nouvelle version sont repérés sur l’aspect RAT de Korplug, où ses auteurs ont ajouté plus de commandes et de fonctionnalités.

Les commandes prises en charge par le premier gestionnaire de la variante particulière de Korplug sont les suivantes :

  • Ping – commencer à écouter les commandes
  • GetSystemInfo – collecte et envoie des informations système
  • ListenThread – démarre une nouvelle menace qui écoute les commandes du deuxième gestionnaire
  • ResetConnection – réinitialiser la connexion à C2
  • Uninstall – supprimez les clés de registre ajoutées, supprimez tous les composants malveillants et supprimez les dossiers créés
  • Stop  – désactiver la clé de registre et quitter

Le deuxième gestionnaire écoute un ensemble différent de commandes qui concernent la fonctionnalité du RAT et sont donc plus avancés que le premier ensemble, qui est utilisé pour la reconnaissance de base.

La liste de ce deuxième groupe est longue, mais quelques exemples indicatifs sont des commandes permettant de répertorier les lecteurs et les répertoires, de lire et d’écrire des fichiers, d’exécuter des commandes sur un bureau masqué et de démarrer une session cmd.exe distante interactive.

ESET pense que Mustang Panda continuera d’améliorer son ensemble d’outils, le rendant plus puissant et plus furtif, tandis qu’une attention particulière doit être accordée aux e-mails de phishing qui semblent très réalistes.

Étant un acteur chinois qui a montré des signes de servir des intérêts d’espionnage politique plus élevés, sa portée de ciblage devrait rester relativement stable.

Qu'est-ce que tu penses?

Les pirates LAPSUS$ divulguent un trésor de données et prétendent violer Microsoft et Okta

La Russie interdit Google News pour des informations “non fiables” sur la guerre en Ukraine