NUEVA ACTIVIDAD DEL GRUPO MUSTANG PANDA

18/11/2022

BOLETÍN NRO 2022-677

Recientemente ciberdelincuentes respaldados por el Estado de China lanzaron una campaña de spear phishing para entregar malware personalizado a organizaciones gubernamentales, de investigación y académicas de todo el mundo.

 

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---                                    Severidad:   ALTA

Los ataques se han observado entre marzo y octubre de 2022 y los investigadores lo atribuyeron al grupo Mustang Panda (TA416). Según investigadores de seguridad, el grupo se dirigía principalmente a organizaciones de Australia, Japón, Taiwán, Myanmar y Filipinas.

Estos ciberdelincuentes utilizaron cuentas de Google para enviar a sus objetivos mensajes de correos de phishing que engañaban al usuario final para que descargaran malware personalizado desde enlaces de Google Drive.

En un informe publicado por investigadores de seguridad, afirman que los atacantes emplearon mensajes con temas geopolíticos y que la mayoría de ellos, que conforman un (84%), tenían como objetivo organizaciones gubernamentales.

Para eludir los sistemas de seguridad, el enlace incrustado apunta a una carpeta de Google Drive o Dropbox, ambas plataformas legítimas con buena reputación que suelen ser menos sospechosas. Estos enlaces conducen a la descarga de archivos comprimidos con extensiones (RAR, ZIP, JAR) que contienen malware personalizado como ToneShell, ToneIns y PubLoad.

Aunque los atacantes empleaban diferentes payloads, el proceso solía consistir en la carga lateral de archivos DLL después de que la víctima lanzara un ejecutable presente en los archivos. Un documento señuelo se muestra en primer plano para minimizar las sospechas.

De los tres malwares utilizados en esta campaña:

• PubLoad es responsable de crear persistencia mediante la adición de claves de registro y la creación de tareas programadas, descifrar shellcode y manejar las comunicaciones de comando y control (C2). Las nuevas versiones de PubLoad cuentan con mecanismos anti-análisis más sofisticados, lo que implica que el grupo de ciberdelincuentes Mustang Panda está trabajando activamente en la mejora de la herramienta.

• ToneIns es un instalador de ToneShell, el principal backdoor usado en la reciente campaña. Emplea la ofuscación para evadir la detección y cargar ToneShell, al tiempo que establece la persistencia en el sistema comprometido.

• ToneShell es un backdoor autónomo que se carga directamente en la memoria, con ofuscación del flujo de código mediante la implementación de manejadores de excepción personalizados. Esto también funciona como un mecanismo anti-sandbox, ya que el backdoor no se ejecutará en un entorno de depuración. Después de conectarse al C2, ToneShell envía un paquete con los datos de identificación de la víctima y luego espera nuevas instrucciones.

Estos comandos permiten cargar, descargar y ejecutar archivos, crear shells para el intercambio de datos en la intranet, cambiar el sleep configuration, etc.

Indicadores de Compromiso

IP

103[.]75[.]190[.]224

89[.]38[.]225[.]151

103[.]15[.]29[.]179

202[.]53[.]148[.]24

103[.]15[.]28[.]208

202[.]58[.]105[.]38

98[.]142[.]251[.]29

202[.]53[.]148[.]26

HASH

MD5: df4bbe9388d6a41148b5def5fa2c5bbc

SHA-256: c0b9438186e27a1ebba214724a35195ce1f3fea41b6c0b69a10c649688371ec3

MD5: f1b7743aaf0c6f2848a876b19f59d5bd

SHA-256: 6b452b2b1c68fe9957f6b2371898fe39a820cf3b5a6f338f5fb2f9639aaf886e

MD5: f80e0419dde05e49803dd1d7b02417e9

SHA-256: d16b3f4cd6271c613a2c9184242b76df96cac0985bf9c4ff330f75e831c1e8f9

MD5: c08589e10812cc7d636dcbe2a36d43b4

SHA-256: 5a70f5b647ecc08bb8556a22f464a89d8d1e5ce535d84cf6162bea0434a7358a

MD5: 6391ab75ac20f2f59179092446ed5052

SHA-256: c52828dbf62fc52ae750ada43c505c934f1faeb9c58d71c76bdb398a3fbbe1e2

MD5: 268d61837aa248c1d49a973612a129ce

SHA-256: 966ab1c468e3fc7d8d8b2d73a9ca9a85d352a0db8043c5eab36dd304a5915812

MD5: c4da531b7391a99e1a1a23a405d19bf6

SHA-256: 447a62c7e29e2da85884b6e4aea80aca2cc5ba86694733ca397a2c8ba0f8e197

 

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Implementar filtrado y segmentación entre redes y utilizar principio de mínimo privilegios.

• Considerar deshabilitar PowerShell o monitorear su ejecución, evitando que pueda ser aprovechado por softwares maliciosos.

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Chinese hackers use Google Drive to drop malware on govt networks
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​