Китайские хакеры используют новый специальный бэкдор, чтобы избежать обнаружения
Китайская хакерская группа, занимающаяся кибершпионажем, Mustang Panda была замечена в развертывании нового пользовательского бэкдора под названием «MQsTTang» в атаках, начиная с этого года.
Mustang Panda — это группа продвинутых постоянных угроз (APT), которая нацелена на организации по всему миру. Злоумышленники также известны как TA416 и Bronze President занимаются кражей данных с использованием настроенных версий вредоносного ПО PlugX.
Новый бэкдор MQsTTang от Mustang Panda, похоже, не основан на предыдущих вредоносных программах, что указывает на то, что хакеры разработали его, чтобы избежать обнаружения и затруднить атрибуцию.
MQsTTang обнаружили исследователи ESET. ESET характеризует MQsTTang как «базовый» бэкдор, который позволяет злоумышленнику удаленно выполнять команды на компьютере жертвы и получать их результаты.
Распространение вредоносного ПО происходит через фишинговые электронные письма, а полезная нагрузка загружается из репозиториев GitHub, созданных пользователем, связанным с предыдущими кампаниями Mustang Panda.
Вредоносное ПО представляет собой исполняемый файл, сжатый внутри RAR-архивов, с именами на дипломатическую тематику, такими как сканы паспортов членов дипломатических миссий, заметки посольства и т. д.
При запуске вредоносная программа создает свою копию с аргументом командной строки, которая выполняет различные задачи, такие как запуск связи C2, установление постоянства и т. д.
Постоянство устанавливается путем добавления нового раздела реестра в «HKCU\Software\Microsoft\Windows\CurrentVersion\Run», который запускает вредоносное ПО при запуске системы. После перезагрузки выполняется только задача связи C2.
Необычной характеристикой нового бэкдора является использование протокола MQTT для связи с сервером управления и контроля.
MQTT обеспечивает вредоносному ПО хорошую устойчивость к удалению C2, скрывает инфраструктуру злоумышленника, пропуская все сообщения через брокера, и снижает вероятность его обнаружения защитниками, которые ищут более часто используемые протоколы C2.
Чтобы избежать обнаружения, MQsTTang проверяет наличие отладчиков или средств мониторинга на хосте и, если таковые обнаружены, соответствующим образом меняет свое поведение.
Пока неизвестно, станет ли MQsTTang частью долгосрочного арсенала группы или он был специально разработан для конкретной операции.
