گروه APT چینی موستانگ پاندا سازمان‌های اروپایی و روسی را هدف قرار می دهد

یک گروه جاسوس سایبری بنام موستانگ پاندا که هدفگیری‌هایش همواره با منافع ژئوپلیتیک چین همخوانی داشت، به تازگی نهادهای روسی و اروپایی را با استفاده از ترفندهای فیشینگ هدفمند و موضوعات مرتبط با جنگ اوکراین مورد هدف قرار داده است.

این گروه که توسط شرکت‌های امنیت سایبری مختلف با عناوینی مثل Mustang Panda، RedDelta، Bronze President یا TA416 شناخته شده است، حداقل از سال 2012 میلادی فعالیت داشته و در طی این سال‌ها به سازمان‌های مختلفی در کشورهای عضو اتحادیه اروپا، آمریکا و آسیا در راستای منافع چین حمله کرده است. اهداف این گروه شامل نهادهای دیپلماتیک، اتاق‌های فکر، سازمان‌های غیردولتی، سازمان‌های مذهبی، شرکت‌های مخابراتی و فعالان سیاسی بوده‌اند.

موستانگ پاندا حملات فیشینگ خود را براساس رویدادهای روز (مثل ویروس کرونا، نشست‌های بین‌المللی و موضوعات سیاسی جهانی) طراحی می‌کند. همچنین در حملات اخیر خود که توسط محققان سیسکو تالوس و چند شرکت امنیتی دیگر شناسایی شده، از گزارش‌های نهادهای اتحادیه اروپا درباره وضعیت امنیتی اروپا (قبل و بعد از حمله روسیه به اوکراین) جهت جلب توجه قربانیان استفاده کرده است.

بر اساس گزارش جدید سیسکو تالوس که به تازگی منتشر شده، این گروه سایبری از یک سند فریبنده حاوی نتیجه‌گیری‌های شورای اتحادیه اروپا درباره وضعیت امنیتی اروپا سوءاستفاده نموده و پس از حمله روسیه به اوکراین، شروع به ایجاد گزارشات جعلی کمیسیون اروپا درباره وضعیت امنیتی اوکراین و سپس بلاروس نموده است.

محققان همچنین متوجه شدند که موستانگ پاندا یک فایل مخرب با یک نام روسی را منتشر می‌کرد که اشاره به یگان گارد مرزی بلاگووشچنسک دارد. بلاگووشچنسک شهری در نزدیکی مرز روسیه با چین است و یگان پنجاه و ششم گارد مرزی پرچم سرخ[1] بلاگووشچنسک روسیه در آن مستقر می‌باشد. استفاده از چنین ترفندهایی نشان می‌دهد که احتمالاً گروه موستانگ پاندا در پی هدف‌گیری سازمان‌ها یا مقامات روس زبان است که اطلاعاتی درباره ارتش این کشور دارند.

گروه موستانگ پاندا چگونه کار می‌کند؟

ترفند رایج موستانگ پاندا استفاده از تروجانی تحت عنوان PlugX می‌باشد که همچنان جزو جاسوس‌افزارهای مورد علاقه این گروه محسوب می‌شود. البته روش انتقال و بارگذاری آن در سیستم‌ها به مرور زمان دستخوش تغییراتی گردیده است.

این گروه در حملات اخیر خود از یک دانلودر مخرب مخفی در یک فایل آرشیو استفاده کرده‌ است. این دانلودر پس از باز شدن و اجرا بر روی سیستم، چند بخش مختلف را بر روی آن نصب می‌کند.

این دانلودر ابتدا یک سند سالم که قربانی انتظار مشاهده‌اش را دارد به عنوان طعمه باز می‌کند. سپس در پس زمینه، یک فایل اجرایی خوش‌خیم را فعال می‌کند که هدف آن نصب یک DLL با استفاده از روش بارگذاری جانبی DLL است. این روش بارگذاری با عنوان «تحت کنترل گرفتن ترتیب جستجوی DLL» شناخته می‌شود. مهاجم برای اجرای این رویکرد باید یک فایل DLL را در محل خاصی و با نام خاصی نصب کرده باشد تا برنامه، آن را در حافظه بارگذاری نموده و نیاز به اجرای یک پردازش ناشناس جدید که منجر به شناسایی این فرایند توسط محصولات نرم‌افزاری شود نداشته باشد.

این DLL نیز یک بارگذار است که کاربرد آن رمزگشایی و بارگذاری پی‌لود نهایی می‌باشد. این پی‌لود معمولاً یک نسخه خاص از PlugX است که یک تروجان پیمانه‌ای می‌باشد. این تروجان قادر است افزونه‌های مختلف را بارگذاری نموده و قابلیت‌های خودش را گسترش دهد. محققان شرکت امنیتی ESET در ماه مارس خبر از اجرای حملاتی توسط گروه موستانگ پاندا دادند که با استفاده از یک نسخه جدید از PlugX بنام Korplug اجرا می‌شوند.

از طرفی محققان سیسکو تالوس هشدار داده‌اند که اعضای این گروه همیشه PlugX را نصب نمی‌کنند و ممکن است از ابزارهایی مثل Meterpreter از فریم‌ورک تست نفوذ اپن سوس متااسپلویت یا حتی پوسته‌های معکوس ساده استفاده ‌کنند.

در اواخر ماه فوریه، موستانگ پاندا از یک فایل اجرایی با موضوع اوکراین استفاده کرده که نام آن به زبان اوکراینی نوشته شده بود. براساس تحقیقات و اقدامات صورت گرفته ترجمه این فایل به این صورت است: «بیانیه رسمی شورای دفاع و امنیت ملی اوکراین». محققان می‌گویند: «این زنجیره آلودگی متشکل از فعال ساختن یک پوسته معکوس مبتنی بر TCP ساده اما جدید با استفاده از فرمان cmd.exe می‌باشد».

این گروه در بین سال‌های 2019 تا اواخر 2021 میلادی از Meterpreter به عنوان روش دسترسی برای نصب پی‌لودهای بیشتر از سرورهای فرماندهی و کنترل استفاده می‌کرده و در بعضی از کارزارهای خودش شروع به بکارگیری ابزارهای اختصاصی در قالب DLL نموده است. این حرکت در ماه فوریه در حمله به اهدافی در عربستان سعودی هم مشاهده شده بود. در این حملات همچنین از یک فایل آرشیو مخرب استفاده گردیده که ظاهراً مرتبط با اجلاس ASEAN بوده است.

همچنین تا مارس سال 2021 میلادی، استفاده از فایل‌های LNK (میانبر ویندوز) به جای فایل‌های اجرایی از جمله تکنیک‌های مورد استفاده موستانگ پاندا در حملاتشان بر علیه قربانیان در آسیا بوده است. این فایل‌های LNK مخرب حاوی همه اجزای لازم زنجیره حمله بودند که ابتدا یک اسکریپت BAT مخرب را استخراج و اجرا می‌کردند و سپس یک پی‌لود جاوااسکریپت را استخراج نموده و از طریق فایل wscript.exe ویندوز اجرا می‌کردند. در نهایت پی‌لود JS یک stager مبتنی بر DLL مخرب را استخراج می‌کرد که به یک سرور فرماندهی و کنترل متصل می‌شد.

در مراحل اولیه حملات جدید، معمولاً از فایل‌های اجرایی مخرب ذخیره شده در قالب فایل‌های آرشیو استفاده می‌شود اما در گذشته موستانگ پاندا از فایل‌های ورد مخرب هم استفاده می‌کرد که برای اجرای یک پی‌لود DLL و شروع زنجیره آلودگی، متکی بر ماکروها بود. این حملات قدیمی معمولاً سازمان‌های آسیایی را مورد هدف قرار می‌دادند.

موستانگ پاندا یک گروه همه فن حریف!

همه این تکنیک‌ها از اهمیت خاصی برخوردار هستند چون مهارت‌های این گروه و توانایی آن برای سفارشی‌سازی، دلالت بر روش‌های انتقال و اجرای فایل‌های مخرب دارد که بر اساس مناسب‌ترین راه جهت هدف‌گیری یک نهاد خاص طراحی شده‌اند. این گروه همواره در بین اجزا، پوسته‌ها، تروجان‌ها و مرحله‌بندهای مختلف جابجا می‌شود.

محققان سیسکو تالوس می‌گویند: «موستانگ پاندا در طی گذر زمان تاکتیک‌های خودش را کامل‌تر کرده تا نهادهای مختلف در سه قاره اروپا، آمریکا و آسیا و حتی متحدانی مثل روسیه را هدف بگیرد. هدف این گروه این است که با استفاده از موضوعات فریبنده مرتبط با کنفرانس‌ها و اجلاس‌هایی که در آسیا و اروپا برگزار می‌شوند، به بیشترین میزان دسترسی طولانی مدت دست یابد تا عملیات جاسوسی و سرقت اطلاعات را با موفقیت انجام دهد».

[1]  پرچم سرخ در سیاست نماد سوسیالیسم، کمونیسم و جناح چپ سیاسی محسوب می‌شود که از سوی چپ گرایان از زمان انقلاب فرانسه بکار برده می‌شد.

اخبار امنیت سایبری را در وبسایت فراست دنبال کنید.

منبع: csoonline