Mustang Panda Attacca il Ministero della Difesa e degli Esteri del Myanmar con Backdoor: Rapporto CSIRT-CTI
I pirati informatici noti come Mustang Panda, con base in Cina, sono stati sospettati di aver mirato al Ministero della Difesa e degli Esteri del Myanmar in due sofisticate campagne, secondo quanto rivelato da CSIRT-CTI.
Le attività si sono svolte tra novembre 2023 e gennaio 2024, con artefatti collegati agli attacchi caricati su VirusTotal.
CSIRT-CTI ha identificato diverse TTP (Procedure Tattiche e Tecniche) utilizzate da Mustang Panda, tra cui l’uso di software legittimo, come un binario sviluppato da Bernecker & Rainer (B&R), e il componente dell’assistente all’aggiornamento di Windows 10 per caricare librerie di collegamento (DLL) malevole.
Mustang Panda, noto anche come BASIN, Bronze President, Camaro Dragon e altri, è attivo dal 2012 e ha recentemente mirato a un governo dell’Asia sud-orientale e alle Filippine.
La sequenza di infezione inizia con una sofisticata e-mail di phishing contenente un allegato ZIP con un eseguibile legittimo originariamente firmato da B&R Industrial Automation GmbH.
L’attacco sfrutta la vulnerabilità del binario al dirottamento dell’ordine di ricerca delle DLL, consentendo il caricamento laterale di una DLL fraudolenta.
Questa DLL stabilisce la persistenza, contatta un server di comando e controllo (C2) e recupera la backdoor PUBLOAD, che agisce come un caricatore personalizzato per rilasciare l’impianto PlugX.
La seconda campagna, riscontrata all’inizio di questo mese, utilizza un’immagine di disco ottico contenente collegamenti LNK per innescare un processo a più fasi.
Questo processo fa uso di un altro caricatore su misura chiamato TONESHELL per distribuire probabilmente PlugX da un server C2 non accessibile.
La mascheratura del traffico C2 come aggiornamento Microsoft è una tattica nota e riflette campagne passate di Mustang Panda. Il gruppo sembra allineare le sue operazioni, denominate Stately Taurus, agli interessi geopolitici cinesi, comprese le operazioni di cyberspionaggio contro il Myanmar.
A seguito degli attacchi dei ribelli nel nord del Myanmar nell’ottobre 2023, la Cina ha espresso preoccupazione per l’impatto sulle rotte commerciali e sulla sicurezza intorno al confine Myanmar-Cina.
Questo nuovo attacco sottolinea la necessità di una sicurezza informatica robusta e di misure di difesa avanzate per proteggere le infrastrutture sensibili e affrontare minacce cibernetiche sofisticate.
Le autorità e le organizzazioni devono rimanere vigili nel monitorare e contrastare le attività di gruppi di hacking avanzati come Mustang Panda.