Mustang Panda: Cyberangriffe auf tibetische Gemeinschaft enthüllt

LONDON (IT BOLTWISE) – Eine neue Cyberangriffskampagne, die auf die tibetische Gemeinschaft abzielt, wurde einem China-verbundenen Bedrohungsakteur namens Mustang Panda zugeschrieben. Diese Angriffe nutzen Spear-Phishing-Techniken und thematisieren Tibet-bezogene Themen, um Schadsoftware zu verbreiten.

Die jüngste Cyberangriffskampagne, die von dem China-verbundenen Bedrohungsakteur Mustang Panda durchgeführt wird, richtet sich gezielt gegen die tibetische Gemeinschaft. Diese Angriffe nutzen Spear-Phishing-Techniken, bei denen Themen rund um Tibet, wie das 9. Weltparlamentarierkonvent über Tibet oder Chinas Bildungspolitik in der Autonomen Region Tibet, als Köder verwendet werden. Laut IBM X-Force wurden diese Aktivitäten bereits zu Beginn des Monats beobachtet und führten zur Verbreitung der bekannten Mustang Panda Malware namens PUBLOAD.

Die Angriffe nutzen Tibet-bezogene Köder, um ein bösartiges Archiv zu verteilen, das eine harmlose Microsoft Word-Datei enthält. Diese Datei ist mit Artikeln und Fotos von tibetischen Websites und dem WPCT versehen, um die Opfer dazu zu bringen, eine als Dokument getarnte ausführbare Datei zu öffnen. Diese Datei nutzt DLL-Sideloading, um eine bösartige DLL namens Claimloader zu starten, die dann PUBLOAD, eine Downloader-Malware, bereitstellt. PUBLOAD kontaktiert einen Remote-Server, um eine weitere Schadsoftware namens Pubshell herunterzuladen.

Pubshell fungiert als leichtgewichtige Hintertür, die einen sofortigen Zugriff auf das infizierte System über eine Reverse-Shell ermöglicht. Die Sicherheitsforscher Golo Mühr und Joshua Chung stellten fest, dass Pubshell eine ähnliche Implementierung wie TONESHELL aufweist, jedoch mit einigen Unterschieden in der Funktionsweise. Während TONESHELL sofortige Ergebnisse zurückgibt, benötigt Pubshell einen zusätzlichen Befehl, um Ergebnisse zurückzugeben und unterstützt nur die Ausführung von ‘cmd.exe’ als Shell.

Interessanterweise gibt es Unterschiede in der Nomenklatur der Sicherheitsunternehmen: IBM bezeichnet den Custom Stager als Claimloader und den ersten Shellcode-Downloader als PUBLOAD, während Trend Micro beide Komponenten als PUBLOAD identifiziert. Team T5 hingegen verfolgt beide Komponenten unter dem Namen NoFive. Diese Unterschiede verdeutlichen die Komplexität der Bedrohungslandschaft und die Herausforderungen bei der Nachverfolgung von Cyberbedrohungen.

Die Entwicklung dieser Bedrohungskampagne erfolgt nur wenige Wochen nach einer anderen Aktivität von IBM, die einem Sub-Cluster von Hive0154 zugeschrieben wird. Diese Aktivitäten zielten auf die USA, die Philippinen, Pakistan und Taiwan ab und nutzten ebenfalls Spear-Phishing-E-Mails, um Regierungs-, Militär- und diplomatische Einrichtungen anzugreifen. Die digitalen Nachrichten enthielten Links zu Google Drive-URLs, die beim Anklicken mit Schadsoftware versehene ZIP- oder RAR-Archive herunterluden.

Die Angriffe auf Taiwan wurden durch den Einsatz eines USB-Wurms namens HIUPAN, auch bekannt als MISTCLOAK oder U2DiskWatch, charakterisiert. Dieser Wurm wird genutzt, um Claimloader und PUBLOAD über USB-Geräte zu verbreiten. Die Sicherheitsforscher betonen, dass Hive0154 ein hochfähiger Bedrohungsakteur bleibt, der über mehrere aktive Sub-Cluster und häufige Entwicklungszyklen verfügt. China-ausgerichtete Gruppen wie Hive0154 werden weiterhin ihre umfangreiche Malware-Arsenal verfeinern und sich auf Organisationen in Ostasien konzentrieren.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!