外媒最近又开始蠢蠢欲动了,其称一种名为“野马熊猫”(Mustang Panda)的“来自中国”的高级持续性威胁组织与正在进行的网络间谍活动有关,该活动使用先前未记录的PlugX远程访问木马变种在受感染的机器上进行。
斯洛伐克网络安全公司ESET将木马的新版本称为Hodur,因为它与2021年7月曝光的另一个名为THOR的PlugX(又名Korplug)变体相似。
ESET恶意软件研究员Alexandre Côté Cyr在与The Hacker News分享的一份报告中说:“大多数受害者位于东亚和东南亚,但少数位于欧洲(希腊、塞浦路斯、俄罗斯)和非洲(南非、南苏丹)。”
“已知的受害者包括研究实体、互联网服务提供商(ISP),以及主要位于东亚和东南亚的欧洲外交使团。”
Mustang Panda,也称为TA416、HoneyMyte、RedDelta或PKPLUG,是一个网络间谍组织,主要以针对非政府组织而闻名,特别关注蒙古。
最新的活动至少可以追溯到2021年8月,它利用了一个关注链,其中包含与欧洲正在进行的事件和乌克兰战争有关的不断变化的诱饵文件。
ESET说:“其他网络钓鱼诱饵提到了更新的COVID-19旅行限制、批准的希腊区域援助地图以及欧洲议会和理事会的条例,最终的诱饵是欧洲理事会网站上的一份真实文件。这表明这一活动背后的APT集团正在关注时事,并能够成功地对它们作出迅速反应。”
无论采用何种网络钓鱼诱饵,感染的最终结果都是在被攻击的Windows主机上部署Hodur后门。
解释说:“这次活动中使用的变体与THOR变体有许多相似之处,这就是我们将其命名为Hodur的原因。相似之处包括Software\CLASSES\ms-pu注册表项的使用、配置中[command-and-control]服务器的相同格式以及静态窗口类的使用。”
就其本身而言,Hodur能够处理各种命令,使植入者能够收集广泛的系统信息、读写任意文件、执行命令以及启动远程cmd.exe会话。
ESET的调查结果与谷歌威胁分析小组(TAG)和Proofpoint的公开披露一致,这两家公司都详细介绍了Mustang Panda本月早些时候分发更新的PlugX变体的活动。
Côté Cyr说:“这次活动中使用的诱饵再次表明Mustang Panda能够对世界事件作出快速反应。这个组织还展示了迭代改进其工具的能力,包括其标志性的使用三叉戟下载器来部署Korplug。”