Malware do Mustang Panda

O Mustang Panda (também conhecido como Bronze President, HoneyMyte, RedDelta, Red Lich, Earth Preta, PKPLUG e TA416) é atribuído a agentes de ameaças baseados na China. Os ataques cibernéticos do Mustang Panda tiveram como alvo governos estrangeiros, ONGs e outras organizações consideradas inimigas do regime comunista chinês. Os ataques se concentraram em Taiwan, Hong Kong, Mianmar, Mongólia, Vietnã, no Vaticano católico e em grupos religiosos minoritários baseados na China. O Mustang Panda foi observado pela primeira vez por pesquisadores de ameaças em 2017, mas está ativo desde 2012. 

O Mustang Panda usa campanhas de spear phishing bem forjadas, empregando os idiomas nativos dos alvos para se passar por organizações de serviços governamentais e aproveitando eventos internacionais atuais, como a COVID-19 e o conflito entre a Rússia e a Ucrânia, para coagir interações.

O Mustang Panda usa um conjunto limitado de TTPs distintos em suas campanhas de ataque, principalmente versões personalizadas da variedade de malware PlugX (também conhecido como Korplug). Os ataques do Mustang Panda geralmente começam com uma carga útil de arquivo executável portátil malicioso (.exe) entregue por meio de um ataque de spear-phishing, mas também foram entregues por meio de arquivos de atalho da Microsoft (.LNK) contendo um HTA (aplicativo HTML) incorporado e um script VBScript ou PowerShell. Se entregue por meio de um executável.exe, a carga maliciosa é normalmente mascarada com um ícone personalizado projetado para se parecer com o de um documento do Microsoft Office e uma extensão dupla, como ".doc.exe", para enganar as vítimas e fazê-las acreditar que se trata de um documento comum do Office. Quando executado pela vítima, um documento real do Office é aberto; em segundo plano, a carga útil de primeiro estágio é implantada.

O executável contém vários componentes compactados, incluindo um binário legítimo assinado, como o Microsoft Suite Integration Toolkit, o aplicativo Adobe ou outro executável legítimo com uma vulnerabilidade conhecida de carregamento lateral de DLL. O uso de um binário legítimo assinado permite que a carga útil não seja detectada por produtos de segurança menos sofisticados, enquanto o uso de software com uma vulnerabilidade conhecida de sequestro de DLL permite que o código malicioso seja executado no contexto do aplicativo legítimo. Essa técnica de ataque normalmente carrega lateralmente uma variante personalizada da carga útil do malware PlugX. 

Em seguida, o malware PlugX faz o download de um aplicativo de comando e controle (C2) de segundo estágio, como a ferramenta de administração remota Poison Ivy ou o Cobalt Strike Beacon, para estabelecer uma conexão com um servidor controlado pelo Mustang Panda. O Mustang Panda geralmente usa criptografia XOR simples com a chave "123456789" para criptografar sua comunicação C2 em trânsito.

O Mustang Panada tende a atacar alvos com defesas de segurança cibernética pouco sofisticadas. O Mustang Panda emprega técnicas como a criptografia XOR da comunicação C2 usando uma chave de criptografia estática que as soluções avançadas de segurança cibernética poderiam detectar facilmente. No entanto, é essencial implementar medidas que possam evitar um ataque do Mustang Panada, como

• Considere o treinamento de conscientização do usuário para instruir o pessoal sobre técnicas de phishing e desenvolva procedimentos operacionais padrão (SOP) para lidar com e-mails e documentos suspeitos
• Manter assinaturas e mecanismos antivírus atualizados em todos os produtos de segurança
• Use um proxy de conteúdo para monitorar o uso da Internet e restringir o acesso do usuário a sites suspeitos ou de risco