野马熊猫恶意软件

Mustang Panda（又名 Bronze President、HoneyMyte、RedDelta、Red Lich、Earth Preta、PKPLUG 和 TA416）是中国的威胁行为者所为。野马熊猫网络攻击的目标是外国政府、非政府组织和其他被认为是中共政权敌人的组织。攻击主要集中在台湾、香港、缅甸、蒙古、越南、天主教梵蒂冈和中国的少数宗教团体。威胁研究人员于 2017 年首次观察到野马熊猫，但自 2012 年以来一直很活跃。 

Mustang Panda 利用精心伪造的鱼叉式网络钓鱼活动，使用目标的母语冒充政府服务机构，并利用当前的国际事件（如 COVID-19 和俄乌冲突）来胁迫互动。

Mustang Panda 在其攻击活动中使用了一套有限的独特 TTP--主要是 PlugX（又名 Korplug）恶意软件菌株的定制版本。Mustang Panda 的攻击通常从通过鱼叉式网络钓鱼攻击发送的恶意可移植可执行文件（.exe）有效载荷开始，但也通过包含嵌入式 HTA（HTML 应用程序）和 VBScript 或 PowerShell 脚本的 Microsoft 快捷方式（.LNK）文件发送。如果通过.exe可执行文件发送，恶意有效载荷通常会被设计成类似 Microsoft Office 文档的自定义图标和双重扩展名（如".doc.exe"）所掩盖，以诱骗受害者相信这是一个普通的 Office 文档。当受害者执行时，一个真正的 Office 文档就会被打开；在后台，第一阶段的有效载荷就会被部署。

可执行文件包含多个打包组件，其中包括合法签名的二进制文件，如 Microsoft Suite Integration Toolkit、Adobe 应用程序或其他存在已知 DLL 侧载漏洞的合法可执行文件。使用合法签名的二进制文件可以让不太复杂的安全产品检测不到有效载荷，而使用存在已知 DLL 劫持漏洞的软件则可以在合法应用程序的上下文中运行恶意代码。这种攻击技术通常会侧载 PlugX 恶意软件有效载荷的自定义变体。 

然后，PlugX 恶意软件会下载一个二级命令与控制（C2）应用程序，如 Poison Ivy 远程管理工具或 Cobalt Strike Beacon，以与 Mustang Panda 控制的服务器建立连接。Mustang Panda 通常使用密钥为 "123456789 "的简单 XOR 加密来加密传输中的 C2 通信。

野马熊猫倾向于攻击网络安全防御不完善的目标。Mustang Panada 采用的技术，如使用静态加密密钥对 C2 通信进行 XOR 加密，先进的网络安全解决方案很容易检测到。尽管如此，采取措施防止 Mustang Panada 攻击是非常重要的，例如：

• 考虑开展用户意识培训，让员工了解网络钓鱼技术，并制定处理可疑电子邮件和文件的标准操作程序 (SOP)。
• 维护所有安全产品上的最新防病毒签名和引擎
• 使用内容代理监控互联网使用情况，限制用户访问可疑或有风险的网站