与中国结盟的Mustang Panda行为者被观察到使用一个迄今未见的自定义后门,称为MQsTTang,作为2023年1月开始的持续社会工程活动的一部分。
"ESET研究员Alexandre Côté Cyr在一份新报告中说:"与该组织的大多数恶意软件不同,MQsTTang似乎并不是基于现有的家族或公开可用的项目。
在去年俄罗斯全面入侵乌克兰之后,该组织策划的攻击链已经加强了对欧洲实体的攻击。目前活动的受害者尚不清楚,但这家斯洛伐克网络安全公司表示,诱饵文件名与该组织以前针对欧洲政治组织的活动相一致。
也就是说,ESET还观察到针对保加利亚和澳大利亚的未知实体以及台湾的一个政府机构的攻击,表明重点在欧洲和亚洲。
Mustang Panda有使用被称为PlugX的远程访问木马来实现其目标的历史,尽管最近的入侵事件看到该组织扩大了其恶意软件的武库,包括定制工具,如TONINS、TONESHELL和PUBLOAD。
2022年12月,Avast披露了另一组针对缅甸政府机构和政治非政府组织的攻击,导致敏感数据外流,包括电子邮件转储、文件、法庭听证会、审讯报告和会议记录,使用了名为Hodur的PlugX变体和谷歌驱动器上传工具。
更重要的是,与该威胁行为者有关的一个FTP服务器被发现承载了各种以前没有记录的工具,用于向受感染的设备分发恶意软件,包括一个名为JSX的基于Go的木马和一个被称为HT3的复杂后门。
MQsTTang的开发表明了这一趋势的延续,即使它是一个没有任何混淆技术的 "裸体 "单级后门,允许执行从远程服务器接收的任意命令。
然而,该植入物的一个不寻常的方面是使用了一个名为MQTT的物联网消息协议进行命令和控制(C2)通信,这是用一个名为QMQTT的开源库实现的,QMQTT是Qt跨平台应用框架的MQTT客户端。
攻击的最初入侵载体是鱼叉式钓鱼,MQTT通过RAR档案分发,其中包含一个单一的可执行文件,该文件的文件名具有外交主题(例如,"PDF_Passport and CVs of diplomatic members from Tokyo of JAPAN.eXE")。
"这个新的MQsTTang后门提供了一种远程外壳,没有任何与该集团其他恶意软件家族相关的铃声和口哨," Côté Cyr说。"然而,它表明野马熊猫正在为其工具探索新的技术堆栈"。
声明:本文相关资讯来自thehackernews,版权归作者所有,转载目的在于传递更多信息。如有侵权,请联系本站处理。