رُصدت مجموعة التهديد المدعومة من الحكومة الصينية والمعروفة باسم Mustang Panda وهي تشن هجومًا إلكترونيًا استهدف جهة غير محددة في ميانمار، مستخدمة أدوات خبيثة جديدة لم تُبلغ سابقًا، مما يعكس استمرار المجموعة في تطوير وتعزيز فعالية وتعقيد البرمجيات التي تستخدمها.
تشمل الهجمات:
-
تحديثات لبرمجية الباب الخلفي TONESHELL
-
أداة حركة أفقية جديدة تُدعى StarProxy
-
مُسجّلي ضغطات مفاتيح جديدين يُعرفان باسم PAKLOG وCorKLOG
-
وسائق (Driver) خاص بتجاوز أنظمة كشف التهديدات EDR يُعرف باسم SplatCloak
تحديثات برمجية TONESHELL
قال الباحث سوديب سينغ من فريق ThreatLabz التابع لشركة Zscaler إن “الباب الخلفي TONESHELL تم تحديثه ليشمل تغييرات على بروتوكول FakeTLS للتحكم والقيادة (C2)، بالإضافة إلى تحسين أساليب إنشاء وتخزين معرفات العملاء”.
نبذة عن Mustang Panda
تُعرف هذه المجموعة بأسماء متعددة مثل BASIN، Bronze President، Camaro Dragon، Earth Preta، HoneyMyte، وRedDelta، وتنشط منذ عام 2012 على الأقل.
تستهدف المجموعة بشكل رئيسي الكيانات الحكومية والعسكرية والمنظمات غير الحكومية والأقليات العرقية في شرق آسيا وأحيانًا في أوروبا، وتشتهر باستخدام تقنيات DLL Side-Loading لنشر برمجية PlugX.
تطور عائلة TONESHELL الخبيثة
حددت شركة Zscaler ثلاث نسخ من TONESHELL:
-
النسخة الأولى: تعمل كـ Reverse Shell بسيطة.
-
النسخة الثانية: قادرة على تحميل ملفات DLL وتنفيذها عبر حقنها في عمليات نظام شرعية مثل svchost.exe.
-
النسخة الثالثة: تقوم بتحميل الملفات وتنفيذ الأوامر من خادم تحكم عبر بروتوكول TCP مخصص.
أداة StarProxy الجديدة
تُطلق أداة StarProxy عبر تقنية DLL Side-Loading وتستخدم بروتوكول FakeTLS لتوجيه حركة المرور بين الأجهزة المصابة وخوادم C2.
تستخدم الأداة sockets TCP وتشفير مخصص يعتمد على XOR، وتقبل عناوين IP ومنافذ اتصال عبر أوامر السطر لتوجيه البيانات.
“يُرجّح استخدام StarProxy بعد اختراق الجهاز لتمكين الوصول إلى محطات العمل الداخلية غير المتصلة مباشرة بالإنترنت”، وفقًا لـ Zscaler.
مسجلات المفاتيح PAKLOG وCorKLOG
كلا المسجلين مصمم لرصد ضغطات المفاتيح وبيانات الحافظة، مع اختلاف رئيسي هو أن CorKLOG يخزن البيانات في ملف مشفر باستخدام خوارزمية RC4 بمفتاح طوله 48 حرفًا، ويستخدم آليات استمرارية عبر الخدمات أو المهام المجدولة.
لا تحتوي أي من الأداتين على وظائف استخراج بيانات، مما يعني أن جمع البيانات يتم فقط محليًا، بينما تُنقل لاحقًا بطرق أخرى.
أداة SplatCloak لتجاوز أنظمة EDR
تُستخدم SplatCloak، وهي وحدة تشغيل Kernel على نظام Windows، لتعطيل وظائف الدفاع مثل Windows Defender وKaspersky. يتم نشرها عبر أداة أخرى تُعرف باسم SplatDropper، وتساعد في إخفاء الأنشطة الخبيثة.
“تعكس Mustang Panda نهجًا مدروسًا في تحقيق أهدافها، من خلال تحديثات متواصلة، أدوات جديدة، وطبقات من التمويه لتحسين فاعلية الهجمات وتوسيع قدرتها على التخفي”، حسبما أضاف سينغ.
