En farlig ny hacking kollektivt kendt som Mustang Panda er at udnytte makro-inficerede dokumenter til at målrette brugere på verdensplan. Den storstilede kampagne ser ud til at være imod både offentlige og private sektor. I øjeblikket er der ingen oplysninger om de intentioner og identitet af hackere.
Inficerede dokumenter, som Ny Hacking gruppe kaldet Mustang Panda
En ny hacking gruppe, der har været ukendt for os indtil nu har vist sig at distribuere forskellige makro-inficerede dokumenter mod brugere. Hackerne synes at stamme fra Kina og de målrettede netværk omfatter både private brugere og offentlige virksomheder. Angrebene er globale og er ikke kun begrænset til Kina. Hvad vi ved er, at gruppen oprindeligt begyndte at sprede malware sidste år, men har lige siden opgraderet deres taktik til at omfatte nye procedurer. Nogle af de bekræftede målene er følgende: Kina Centre (organisation uden fortjeneste), Vietnam politisk parti og beboere fra Sydøstasien. De lande, der er blevet målrettet inkluderer Mongoliet, Tyskland, Myanmar, Vietnam og Pakistan.
Hackerne har fokuseret på at bruge social engineering teknikker at manipulere målene til at åbne op de inficerede dokumenter. Dette er normalt tilfældet med e-mails, der indeholder farlige scripts og indhold. I de fleste tilfælde vil de udgive kendte virksomheder eller tjenester, og vil omfatte de nødvendige scripts. Afhængigt af den præcise teknik de farlige filer kan enten fastgøres eller linket i indholdet.
I sidste ende vil målene modtage en zip-fil der skal indeholde en .lnk fil indeni, der er maskeret med en dobbelt udvidelse. Hvis arkivet åbnes, og de inkluderede filer er startet relevante malware vil blive installeret. I de analyserede angreb kampagner har der været to primære nyttelast som leveres til ofrene:
- Cobalt Strike Beacon - Det er en farlig nyttelast, der kan meget tilpasset til forskellige angreb. Almindeligt det bruges til at høste oplysninger via internettet, og det kan bruges til overvågning af offeret brugere. En masse af dens funktionalitet er fokuseret på at give de kriminelle mulighed for at udføre deres egne kommandoer, hente oplysninger og data, samt ændre konfigurationen af systemet.
- PlugX Trojan - Dette er en stærk trojansk som har været kendt for os i mindst flere år nu. Det er kommet gennem forskellige opdateringer og versioner og er sammensat af flere moduler. Det kan bruges til at overtage kontrollen over den kompromitterede maskine og lade hacker controllere at kapre oplysninger, herunder personligt. Hvad er mere farligt er evnen til at udspionere brugerne til enhver tid og manipulere systemet på alle mulige måder.
Sådanne angreb vil sandsynligvis fortsætte i fremtiden med en endnu større kampagne. Den kriminelle kollektivt synes at have ressourcer med henblik på at målrette sådanne netværk. Vi forventer, at de kan bruge andre taktikker eller udvide deres erfaringer med social engineering og phishing.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: