與中國結盟的Mustang Panda行爲者被觀察到使用一個迄今未見的自定義後門,稱爲MQsTTang,作爲2023年1月開始的持續社會工程活動的一部分。
"ESET研究員Alexandre Côté Cyr在一份新報告中說:"與該組織的大多數惡意軟件不同,MQsTTang似乎並不是基於現有的家族或公開可用的項目。
在去年俄羅斯全面入侵烏克蘭之後,該組織策劃的攻擊鏈已經加強了對歐洲實體的攻擊。目前活動的受害者尚不清楚,但這家斯洛伐克網絡安全公司表示,誘餌文件名與該組織以前針對歐洲政治組織的活動相一致。
也就是說,ESET還觀察到針對保加利亞和澳大利亞的未知實體以及臺灣的一個政府機構的攻擊,表明重點在歐洲和亞洲。
Mustang Panda有使用被稱爲PlugX的遠程訪問木馬來實現其目標的歷史,儘管最近的入侵事件看到該組織擴大了其惡意軟件的武庫,包括定製工具,如TONINS、TONESHELL和PUBLOAD。
2022年12月,Avast披露了另一組針對緬甸政府機構和政治非政府組織的攻擊,導致敏感數據外流,包括電子郵件轉儲、文件、法庭聽證會、審訊報告和會議記錄,使用了名爲Hodur的PlugX變體和谷歌驅動器上傳工具。
更重要的是,與該威脅行爲者有關的一個FTP服務器被發現承載了各種以前沒有記錄的工具,用於向受感染的設備分發惡意軟件,包括一個名爲JSX的基於Go的木馬和一個被稱爲HT3的複雜後門。
MQsTTang的開發表明了這一趨勢的延續,即使它是一個沒有任何混淆技術的 "裸體 "單級後門,允許執行從遠程服務器接收的任意命令。
然而,該植入物的一個不尋常的方面是使用了一個名爲MQTT的物聯網消息協議進行命令和控制(C2)通信,這是用一個名爲QMQTT的開源庫實現的,QMQTT是Qt跨平臺應用框架的MQTT客戶端。
攻擊的最初入侵載體是魚叉式釣魚,MQTT通過RAR檔案分發,其中包含一個單一的可執行文件,該文件的文件名具有外交主題(例如,"PDF_Passport and CVs of diplomatic members from Tokyo of JAPAN.eXE")。
"這個新的MQsTTang後門提供了一種遠程外殼,沒有任何與該集團其他惡意軟件家族相關的鈴聲和口哨," Côté Cyr說。"然而,它表明野馬熊貓正在爲其工具探索新的技術堆棧"。
聲明:本文相關資訊來自thehackernews,版權歸作者所有,轉載目的在於傳遞更多信息。如有侵權,請聯繫本站處理。