گروه هکری تحت حمایت دولت چین با نام Mustang Panda توسط تیم امنیتی Zscaler ThreatLabz شناسایی شده است که از ابزارها و تکنیکهای جدید برای دور زدن سامانههای شناسایی و پاسخ به تهدیدات پایانهای (EDR) استفاده میکند. در این کمپین جدید، دو ابزار خاص مورد توجه قرار گرفتهاند: نسخه بهروزرسانیشده Backdoor ToneShell و ابزار تازهای به نام StarProxy.
⚙️ تکنیکها و ابزارهای جدید:
🔹 ToneShell جدید:
-
استفاده از پروتکل FakeTLS اصلاحشده برای تقلید ترافیک TLS امن.
-
رمزگذاری ارتباطات شبکه با کلیدهای XOR پویا برای پنهانسازی ترافیک مخرب در میان ارتباطات مشروع.
🔹 StarProxy:
-
ابزاری برای حرکت جانبی در شبکههای آلوده.
-
از باینری امضاشدهی قانونی (IsoBurner.exe) و DLL مخرب (StarBurn.dll) بهره میبرد.
-
ارتباط بین دستگاهها و سرور C2 را با پروتکل FakeTLS رمزگذاری میکند.
-
از الگوریتم رمزنگاری XOR سفارشی با کلیدهای سختکد استفاده میکند.
🧩 روشهای اجرا:
-
DLL Sideloading: بستههای مخرب در فایلهای RAR همراه با باینریهای قانونی قرار میگیرند و از روش sideloading برای اجرای کد استفاده میشود.
-
Beaconing دائمی: برای دریافت دستورات از سرورهای فرمان و کنترل (C2).
-
استفاده از نامهای فایل و دامنههای مشروع برای فریب سیستمهای دفاعی.
🔐 شاخصهای نفوذ (IOCs):
| نوع | مقدار | توضیح |
|---|---|---|
| MD5 | 233214d22659aa85f32bb705812a0b22 |
فایل cf.rar (آرشیو RAR) |
| MD5 | b695a31ea90e61cc08da1837d836655a |
ToneShell DLL (libcef.dll) |
| MD5 | 4fefc66a0f7e1b2ed8affc9c3ba66ec7 |
باینری قانونی (mrender.exe) |
| دامنه | www.dest-working[.]com, www.profile-keybord[.]com |
سرورهای C2 |
| آدرس IP | ۴۳.۲۲۹.۷۹[.]۱۶۳, ۴۳.۲۵۴.۱۳۲[.]۲۱۷ |
سرورهای فرمان و کنترل |
| URL | ۱۰۳.۱۳.۳۱[.]۷۵/... |
مسیر دانلود آلوده از سرور حملهکننده |
یک نظر