Китайская хакерская группировка Mustang Panda, также известная как BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte и RedDelta, с 2012 года ведет целенаправленные атаки на государственные учреждения, военные объекты, НПО и национальные меньшинства преимущественно в Восточной Азии. В последние годы активность этой группы отмечена и в Европе. Mustang Panda известна использованием метода подгрузки вредоносных DLL для доставки трояна PlugX, однако их инструментарий постоянно обновляется.
В период с 2022 по 2024 год группа осуществила масштабную целенаправленную кампанию против неназванной организации в Мьянме, применив ряд новых и усовершенствованных средств. Среди них — обновленная версия бэкдора TONESHELL, инструмент бокового перемещения StarProxy, драйвер обхода EDR SplatCloak и два кейлоггера: PAKLOG и CorKLOG.
TONESHELL выполняет задачи по загрузке вредоносных компонентов второго этапа. Последние обновления включают изменения в протоколе FakeTLS для связи с командным сервером и новые методы генерации идентификаторов клиентов. Исследователь Sudeep Singh (Zscaler ThreatLabz) выделил три варианта TONESHELL: простой реверс-шелл, модификацию для загрузки DLL и внедрения в легитимные процессы (например, svchost.exe), а также вариант для скачивания файлов и выполнения удаленных команд через собственный TCP-протокол.
StarProxy, развертываемый с помощью подгрузки DLL, служит прокси-сервером между заражёнными устройствами и управляющими серверами. Он использует протокол FakeTLS и шифрует данные собственным XOR-алгоритмом. Для настройки соединения применяются аргументы командной строки, поддерживается работа через TCP-сокеты. Основное назначение — обеспечение доступа к внутренним рабочим станциям, не имеющим выхода в интернет.
Два кейлоггера, PAKLOG и CorKLOG, собирают нажатия клавиш и содержимое буфера обмена. Особенность CorKLOG — хранение данных в зашифрованном RC4-файле с 48-символьным ключом и обеспечение постоянства за счёт создания сервисов и запланированных задач. Оба инструмента не обладают встроенными средствами передачи собранных данных на сервер: это осуществляется отдельными механизмами.
SplatCloak представляет собой вредоносный драйвер ядра Windows, внедряемый посредством SplatDropper. Его задача — отключать защитные функции Windows Defender и антивируса Kaspersky, обеспечивая скрытность работы остальных компонентов атаки.
По словам Sudeep Singh, "Mustang Panda демонстрирует расчетливый подход... Постоянные обновления, новые инструменты и многоуровневая обфускация продлевают оперативную безопасность и повышают эффективность атак".
В параллельной активности на европейском фронте зафиксирована деятельность связанной с Китаем группы UNC5221 и её бэкдора BRICKSTORM, впервые описанного в 2023 году после атаки на MITRE Corporation с использованием уязвимостей нулевого дня в Ivanti Connect Secure (CVE-2023-46805 и CVE-2024-21887). BRICKSTORM в версии для Linux позволяет организовывать веб-сервер, выполнять операции с файлами, запускать shell-команды и настраивать реле SOCKS. Вариант для Windows, написанный на Go, поддерживает файловый менеджер и сетевой туннелинг, но не позволяет выполнять команды. Для обхода контроля DNS и TLS-инспекции используется разрешение управляющего домена через DNS-over-HTTPS, что затрудняет обнаружение и блокировку.
Злоумышленники используют сочетание сетевого туннелирования и легитимных учетных данных для эксплуатации протоколов RDP и SMB с целью дальнейшего закрепления в инфраструктуре.
С конца 2022 года Mustang Panda активно применяет TONESHELL в своих операциях. Атаки с использованием BRICKSTORM ведутся как минимум с 2022 года и были подробно описаны в 2023 году. В апреле 2024 года компания Google Mandiant подтвердила продолжение этой активности.
В ходе атак злоумышленники используют сложную схему закрепления — кейлоггеры создают сервисы и задачи для автозапуска, компоненты StarProxy и CorKLOG применяют различные алгоритмы шифрования (XOR и RC4 соответственно) для затруднения анализа и обнаружения.
Все эти факты подтверждают высокий уровень технической подготовки и тактическую гибкость Mustang Panda и связанных с ней группировок, которые продолжают совершенствовать свои инструменты, успешно обходя современные меры защиты.
Изображение носит иллюстративный характер
В период с 2022 по 2024 год группа осуществила масштабную целенаправленную кампанию против неназванной организации в Мьянме, применив ряд новых и усовершенствованных средств. Среди них — обновленная версия бэкдора TONESHELL, инструмент бокового перемещения StarProxy, драйвер обхода EDR SplatCloak и два кейлоггера: PAKLOG и CorKLOG.
TONESHELL выполняет задачи по загрузке вредоносных компонентов второго этапа. Последние обновления включают изменения в протоколе FakeTLS для связи с командным сервером и новые методы генерации идентификаторов клиентов. Исследователь Sudeep Singh (Zscaler ThreatLabz) выделил три варианта TONESHELL: простой реверс-шелл, модификацию для загрузки DLL и внедрения в легитимные процессы (например, svchost.exe), а также вариант для скачивания файлов и выполнения удаленных команд через собственный TCP-протокол.
StarProxy, развертываемый с помощью подгрузки DLL, служит прокси-сервером между заражёнными устройствами и управляющими серверами. Он использует протокол FakeTLS и шифрует данные собственным XOR-алгоритмом. Для настройки соединения применяются аргументы командной строки, поддерживается работа через TCP-сокеты. Основное назначение — обеспечение доступа к внутренним рабочим станциям, не имеющим выхода в интернет.
Два кейлоггера, PAKLOG и CorKLOG, собирают нажатия клавиш и содержимое буфера обмена. Особенность CorKLOG — хранение данных в зашифрованном RC4-файле с 48-символьным ключом и обеспечение постоянства за счёт создания сервисов и запланированных задач. Оба инструмента не обладают встроенными средствами передачи собранных данных на сервер: это осуществляется отдельными механизмами.
SplatCloak представляет собой вредоносный драйвер ядра Windows, внедряемый посредством SplatDropper. Его задача — отключать защитные функции Windows Defender и антивируса Kaspersky, обеспечивая скрытность работы остальных компонентов атаки.
По словам Sudeep Singh, "Mustang Panda демонстрирует расчетливый подход... Постоянные обновления, новые инструменты и многоуровневая обфускация продлевают оперативную безопасность и повышают эффективность атак".
В параллельной активности на европейском фронте зафиксирована деятельность связанной с Китаем группы UNC5221 и её бэкдора BRICKSTORM, впервые описанного в 2023 году после атаки на MITRE Corporation с использованием уязвимостей нулевого дня в Ivanti Connect Secure (CVE-2023-46805 и CVE-2024-21887). BRICKSTORM в версии для Linux позволяет организовывать веб-сервер, выполнять операции с файлами, запускать shell-команды и настраивать реле SOCKS. Вариант для Windows, написанный на Go, поддерживает файловый менеджер и сетевой туннелинг, но не позволяет выполнять команды. Для обхода контроля DNS и TLS-инспекции используется разрешение управляющего домена через DNS-over-HTTPS, что затрудняет обнаружение и блокировку.
Злоумышленники используют сочетание сетевого туннелирования и легитимных учетных данных для эксплуатации протоколов RDP и SMB с целью дальнейшего закрепления в инфраструктуре.
С конца 2022 года Mustang Panda активно применяет TONESHELL в своих операциях. Атаки с использованием BRICKSTORM ведутся как минимум с 2022 года и были подробно описаны в 2023 году. В апреле 2024 года компания Google Mandiant подтвердила продолжение этой активности.
В ходе атак злоумышленники используют сложную схему закрепления — кейлоггеры создают сервисы и задачи для автозапуска, компоненты StarProxy и CorKLOG применяют различные алгоритмы шифрования (XOR и RC4 соответственно) для затруднения анализа и обнаружения.
Все эти факты подтверждают высокий уровень технической подготовки и тактическую гибкость Mustang Panda и связанных с ней группировок, которые продолжают совершенствовать свои инструменты, успешно обходя современные меры защиты.
