Een gevaarlijke nieuwe hacking collectief bekend als Mustang Panda is gebruik te maken van macro-geïnfecteerde documenten aan gebruikers wereldwijd richten. De grootschalige campagne lijkt te zijn tegen zowel de publieke als de private sector. Op dit moment is er geen informatie beschikbaar is over de bedoelingen en de identiteit van de hackers.
Geïnfecteerde documenten waarop New Hacking groep genaamd Mustang Panda
Een nieuwe hacking groep, die onbekend is geweest om ons tot nu toe is gebleken dat diverse macro-geïnfecteerde documenten tegen gebruikers distribueren. De hackers afkomstig lijken te zijn uit China en de gerichte netwerken omvatten zowel particuliere gebruikers en openbare bedrijven. De aanvallen zijn algemeen en zijn niet alleen beperkt tot China. Wat we weten is dat de groep oorspronkelijk begonnen om malware te vorig jaar verspreid, maar is sindsdien een upgrade van hun tactieken om nieuwe procedures omvatten. Sommige van de bevestigde doelstellingen zijn de volgende: China Center (non-profit organisatie), Vietnam politieke partij en bewoners uit Zuidoost-Azië. De landen die zijn gericht onder andere Mongolië, Duitsland, Myanmar, Vietnam en Pakistan.
De hackers hebben zich gericht op het gebruik van social engineering-technieken de doelstellingen manipuleren om opening van de geïnfecteerde documenten. Dit is meestal het geval is met e-mailberichten die gevaarlijke scripts en inhoud bevatten. In de meeste gevallen zullen ze zich voordoen als bekende bedrijven of diensten en zal de nodige scripts bevatten. Afhankelijk van de precieze techniek kan de gevaarlijke bestanden ofwel worden bevestigd of gekoppeld in de inhoud.
Uiteindelijk zal de doelen een ontvangststand Zip bestand die een LNK-bestand bevat binnen dat wordt gemaskeerd met een dubbele extensie. Als het archief wordt geopend en de opgenomen bestanden worden begonnen met de betreffende malware wordt geïnstalleerd. In de geanalyseerde aanslag campagnes er twee ladingen die het slachtoffer worden afgeleverd geweest:
- Cobalt Strike Beacon - Dit is een gevaarlijke lading die in hoge mate kan worden aangepast voor verschillende aanslagen. Vaak wordt het gebruikt om informatie te oogsten via het internet en het kan worden gebruikt voor de bewaking van het slachtoffer gebruikers. Een groot deel van de functionaliteit is gericht op het geven van de criminelen de mogelijkheid om hun eigen opdrachten uit te voeren, opvragen van informatie en gegevens, en wijzigen van de configuratie van het systeem.
- PlugX Trojan - Dit is een krachtige Trojan die ons bekend is voor ten minste enkele jaren. Het is gekomen door middel van verschillende updates en versies en bestaat uit verschillende modules. Het kan worden gebruikt om de controle over de gecompromitteerde machine de hacker controllers over te nemen en in staat te stellen informatie, waaronder persoonlijk kapen. Wat is gevaarlijker is de mogelijkheid om te spioneren voor de gebruikers op elk gewenst moment en te manipuleren van het systeem op alle mogelijke manieren.
Dergelijke aanvallen zijn waarschijnlijk om verder te gaan in de toekomst met een nog grotere campagne. De misdadiger collectieve lijkt de middelen hebben om dergelijke netwerken te richten. We verwachten dat ze andere tactiek te gebruiken of uit te breiden op hun ervaring met social engineering en phishing.