گروه APT چینی موستانگ پاندا سازمانهای اروپایی و روسی را هدف قرار می دهد
یک گروه جاسوس سایبری بنام موستانگ پاندا که هدفگیریهایش همواره با منافع ژئوپلیتیک چین همخوانی داشت، به تازگی نهادهای روسی و اروپایی را با استفاده از ترفندهای فیشینگ هدفمند و موضوعات مرتبط با جنگ اوکراین مورد هدف قرار داده است.
این گروه که توسط شرکتهای امنیت سایبری مختلف با عناوینی مثل Mustang Panda، RedDelta، Bronze President یا TA416 شناخته شده است، حداقل از سال 2012 میلادی فعالیت داشته و در طی این سالها به سازمانهای مختلفی در کشورهای عضو اتحادیه اروپا، آمریکا و آسیا در راستای منافع چین حمله کرده است. اهداف این گروه شامل نهادهای دیپلماتیک، اتاقهای فکر، سازمانهای غیردولتی، سازمانهای مذهبی، شرکتهای مخابراتی و فعالان سیاسی بودهاند.
موستانگ پاندا حملات فیشینگ خود را براساس رویدادهای روز (مثل ویروس کرونا، نشستهای بینالمللی و موضوعات سیاسی جهانی) طراحی میکند. همچنین در حملات اخیر خود که توسط محققان سیسکو تالوس و چند شرکت امنیتی دیگر شناسایی شده، از گزارشهای نهادهای اتحادیه اروپا درباره وضعیت امنیتی اروپا (قبل و بعد از حمله روسیه به اوکراین) جهت جلب توجه قربانیان استفاده کرده است.
بر اساس گزارش جدید سیسکو تالوس که به تازگی منتشر شده، این گروه سایبری از یک سند فریبنده حاوی نتیجهگیریهای شورای اتحادیه اروپا درباره وضعیت امنیتی اروپا سوءاستفاده نموده و پس از حمله روسیه به اوکراین، شروع به ایجاد گزارشات جعلی کمیسیون اروپا درباره وضعیت امنیتی اوکراین و سپس بلاروس نموده است.
محققان همچنین متوجه شدند که موستانگ پاندا یک فایل مخرب با یک نام روسی را منتشر میکرد که اشاره به یگان گارد مرزی بلاگووشچنسک دارد. بلاگووشچنسک شهری در نزدیکی مرز روسیه با چین است و یگان پنجاه و ششم گارد مرزی پرچم سرخ[1] بلاگووشچنسک روسیه در آن مستقر میباشد. استفاده از چنین ترفندهایی نشان میدهد که احتمالاً گروه موستانگ پاندا در پی هدفگیری سازمانها یا مقامات روس زبان است که اطلاعاتی درباره ارتش این کشور دارند.
گروه موستانگ پاندا چگونه کار میکند؟
ترفند رایج موستانگ پاندا استفاده از تروجانی تحت عنوان PlugX میباشد که همچنان جزو جاسوسافزارهای مورد علاقه این گروه محسوب میشود. البته روش انتقال و بارگذاری آن در سیستمها به مرور زمان دستخوش تغییراتی گردیده است.
این گروه در حملات اخیر خود از یک دانلودر مخرب مخفی در یک فایل آرشیو استفاده کرده است. این دانلودر پس از باز شدن و اجرا بر روی سیستم، چند بخش مختلف را بر روی آن نصب میکند.
این دانلودر ابتدا یک سند سالم که قربانی انتظار مشاهدهاش را دارد به عنوان طعمه باز میکند. سپس در پس زمینه، یک فایل اجرایی خوشخیم را فعال میکند که هدف آن نصب یک DLL با استفاده از روش بارگذاری جانبی DLL است. این روش بارگذاری با عنوان «تحت کنترل گرفتن ترتیب جستجوی DLL» شناخته میشود. مهاجم برای اجرای این رویکرد باید یک فایل DLL را در محل خاصی و با نام خاصی نصب کرده باشد تا برنامه، آن را در حافظه بارگذاری نموده و نیاز به اجرای یک پردازش ناشناس جدید که منجر به شناسایی این فرایند توسط محصولات نرمافزاری شود نداشته باشد.
این DLL نیز یک بارگذار است که کاربرد آن رمزگشایی و بارگذاری پیلود نهایی میباشد. این پیلود معمولاً یک نسخه خاص از PlugX است که یک تروجان پیمانهای میباشد. این تروجان قادر است افزونههای مختلف را بارگذاری نموده و قابلیتهای خودش را گسترش دهد. محققان شرکت امنیتی ESET در ماه مارس خبر از اجرای حملاتی توسط گروه موستانگ پاندا دادند که با استفاده از یک نسخه جدید از PlugX بنام Korplug اجرا میشوند.
از طرفی محققان سیسکو تالوس هشدار دادهاند که اعضای این گروه همیشه PlugX را نصب نمیکنند و ممکن است از ابزارهایی مثل Meterpreter از فریمورک تست نفوذ اپن سوس متااسپلویت یا حتی پوستههای معکوس ساده استفاده کنند.
در اواخر ماه فوریه، موستانگ پاندا از یک فایل اجرایی با موضوع اوکراین استفاده کرده که نام آن به زبان اوکراینی نوشته شده بود. براساس تحقیقات و اقدامات صورت گرفته ترجمه این فایل به این صورت است: «بیانیه رسمی شورای دفاع و امنیت ملی اوکراین». محققان میگویند: «این زنجیره آلودگی متشکل از فعال ساختن یک پوسته معکوس مبتنی بر TCP ساده اما جدید با استفاده از فرمان cmd.exe میباشد».
این گروه در بین سالهای 2019 تا اواخر 2021 میلادی از Meterpreter به عنوان روش دسترسی برای نصب پیلودهای بیشتر از سرورهای فرماندهی و کنترل استفاده میکرده و در بعضی از کارزارهای خودش شروع به بکارگیری ابزارهای اختصاصی در قالب DLL نموده است. این حرکت در ماه فوریه در حمله به اهدافی در عربستان سعودی هم مشاهده شده بود. در این حملات همچنین از یک فایل آرشیو مخرب استفاده گردیده که ظاهراً مرتبط با اجلاس ASEAN بوده است.
همچنین تا مارس سال 2021 میلادی، استفاده از فایلهای LNK (میانبر ویندوز) به جای فایلهای اجرایی از جمله تکنیکهای مورد استفاده موستانگ پاندا در حملاتشان بر علیه قربانیان در آسیا بوده است. این فایلهای LNK مخرب حاوی همه اجزای لازم زنجیره حمله بودند که ابتدا یک اسکریپت BAT مخرب را استخراج و اجرا میکردند و سپس یک پیلود جاوااسکریپت را استخراج نموده و از طریق فایل wscript.exe ویندوز اجرا میکردند. در نهایت پیلود JS یک stager مبتنی بر DLL مخرب را استخراج میکرد که به یک سرور فرماندهی و کنترل متصل میشد.
در مراحل اولیه حملات جدید، معمولاً از فایلهای اجرایی مخرب ذخیره شده در قالب فایلهای آرشیو استفاده میشود اما در گذشته موستانگ پاندا از فایلهای ورد مخرب هم استفاده میکرد که برای اجرای یک پیلود DLL و شروع زنجیره آلودگی، متکی بر ماکروها بود. این حملات قدیمی معمولاً سازمانهای آسیایی را مورد هدف قرار میدادند.
موستانگ پاندا یک گروه همه فن حریف!
همه این تکنیکها از اهمیت خاصی برخوردار هستند چون مهارتهای این گروه و توانایی آن برای سفارشیسازی، دلالت بر روشهای انتقال و اجرای فایلهای مخرب دارد که بر اساس مناسبترین راه جهت هدفگیری یک نهاد خاص طراحی شدهاند. این گروه همواره در بین اجزا، پوستهها، تروجانها و مرحلهبندهای مختلف جابجا میشود.
محققان سیسکو تالوس میگویند: «موستانگ پاندا در طی گذر زمان تاکتیکهای خودش را کاملتر کرده تا نهادهای مختلف در سه قاره اروپا، آمریکا و آسیا و حتی متحدانی مثل روسیه را هدف بگیرد. هدف این گروه این است که با استفاده از موضوعات فریبنده مرتبط با کنفرانسها و اجلاسهایی که در آسیا و اروپا برگزار میشوند، به بیشترین میزان دسترسی طولانی مدت دست یابد تا عملیات جاسوسی و سرقت اطلاعات را با موفقیت انجام دهد».
[1] پرچم سرخ در سیاست نماد سوسیالیسم، کمونیسم و جناح چپ سیاسی محسوب میشود که از سوی چپ گرایان از زمان انقلاب فرانسه بکار برده میشد.
اخبار امنیت سایبری را در وبسایت فراست دنبال کنید.
منبع: csoonline