ムスタング・パンダ・マルウェア

Mustang Panda（別名Bronze President、HoneyMyte、RedDelta、Red Lich、Earth Preta、PKPLUG、TA416）は、中国を拠点とする脅威行為者に起因しています。Mustang Pandaのサイバー攻撃は、外国政府、NGO、および中国共産党政権の敵とみなされるその他の組織を標的としています。攻撃は、台湾、香港、ミャンマー、モンゴル、ベトナム、カトリックのバチカン、中国を拠点とする宗教的少数派グループに焦点を当てています。Mustang Pandaは2017年に初めて脅威研究者によって観測されたが、2012年から活動していた。 

Mustang Pandaは、ターゲットの母国語を使用し、政府サービス機関になりすましたり、COVID-19やロシアとウクライナの紛争など、現在の国際的な出来事を利用したりしながら、よくできたスピアフィッシングキャンペーンを行い、やり取りを強要する。

Mustang Pandaは、その攻撃キャンペーンにおいて、主にPlugX (AKA Korplug)マルウェア株をカスタマイズした限定的なTTPを使用しています。Mustang Pandaの攻撃は通常、悪意のあるポータブル実行ファイル（.exe）ペイロードがスピアフィッシング攻撃によって配信されることから始まりますが、HTA（HTMLアプリケーション）とVBScriptまたはPowerShellスクリプトが埋め込まれたMicrosoftショートカット（.LNK）ファイル経由でも配信されています。.exe実行ファイルを介して配信される場合、悪意のあるペイロードは通常、Microsoft Officeドキュメントのようにデザインされたカスタムアイコンと「.doc.exe」などの二重の拡張子でマスクされ、被害者に通常のOfficeドキュメントであると信じ込ませます。被害者によって実行されると、実際のOffice文書が開かれ、バックグラウンドで第一段階のペイロードが展開されます。

この実行ファイルには、Microsoft Suite Integration Toolkit、Adobeアプリケーション、または既知のDLLサイドローディング脆弱性を持つ別の正規の実行ファイルなど、署名された正規のバイナリを含む複数のパックされたコンポーネントが含まれています。正規の署名付きバイナリを使用することで、ペイロードはあまり洗練されていないセキュリティ製品に検出されずに済みます。一方、既知のDLLハイジャック脆弱性を持つソフトウェアを使用することで、正規のアプリケーションのコンテキスト下で悪意のあるコードを実行させることができます。この攻撃手法では通常、PlugXマルウェアのペイロードをサイドロードします。 

PlugXマルウェアは次に、Poison Ivyリモート管理ツールやCobalt Strike Beaconなどの第2段階のコマンド＆コントロール（C2）アプリケーションをダウンロードし、Mustang Pandaが制御するサーバーとの接続を確立します。Mustang Pandaは、一般的に "123456789 "をキーとする単純なXOR暗号を使用して、C2通信を暗号化します。

Mustang Panadaは、サイバーセキュリティの防御が洗練されていない標的を捕食する傾向があります。Mustang Panadaは、高度なサイバーセキュリティ・ソリューションが容易に検出できる静的な暗号化キーを使用してC2通信をXOR暗号化するなどのテクニックを採用しています。それでも、以下のようなムスタング・パナダの攻撃を防ぐ対策を実施することが不可欠です：

• フィッシング・テクニックについて担当者を教育するためのユーザー意識向上トレーニングを検討し、不審な電子メールや文書を取り扱うための標準作業手順書（SOP）を作成する。
• すべてのセキュリティ製品のウイルス対策シグネチャとエンジンを最新の状態に保つ
• コンテンツ・プロキシを使ってインターネット利用を監視し、不審なサイトや危険なサイトへのアクセスを制限する。