nov 22, 2023 | Blog
A Mustang Panda Támadásai: Kibertérben Kibontakozó Fülöp-szigeteki Konfliktusok
A Mustang Panda, egy Kínával összefüggésbe hozható hackercsoport, Fülöp-szigeteki kormányzati célpontokat támadott meg, kihasználva a Dél-kínai-tengeri területi viták által keltett feszültségeket. A Palo Alto Networks Unit 42 elemzése szerint 2023 augusztusában három külön kampány során a csoport célba vette a Dél-Csendes-óceáni térség szervezeteit.
A támadások során a hackerek hiteles szoftvereket, mint például a Solid PDF Creator-t és az indonéz SmadavProtect antivírust használták fel, hogy rosszindulatú fájlokat juttassanak be a rendszerekbe. A csoport ügyesen manipulálta ezeket a szoftvereket, hogy Microsoft hálózati forgalmat utánozzanak, ezzel biztosítva a parancs- és vezérlési (C2) kapcsolatokat.
A Mustang Panda csoportot sok néven ismerik, mint például Bronz Előlnök, Camaro Sárkány, Föld Preta, RedDelta és Állami Taurus, és mint egy kínai fejlett állandó fenyegetést (APT) jelölő csoportot tartják számon, mely 2012 óta aktívan folytat kiberspionázs kampányokat világszerte.
2023 szeptemberében a Unit 42 szakértői a csoportot egy délkelet-ázsiai kormányzati szervezet elleni támadással hozták összefüggésbe, melyben a TONESHELL nevű hátsó ajtót használták.
A legfrissebb támadások dárda-phishing email-ekkel kezdődtek, melyek rosszindulatú ZIP fájlokat tartalmaztak, egy rosszindulatú dinamikus könyvtárral (DLL). Az offenzíva célja egy távoli szerverhez való csatlakozás volt, amelynek során kompromittálták a Fülöp-szigeteki kormányzati entitásokat egy ötnapos időszak alatt, 2023 augusztus 10. és 15. között.
A Mustang Panda ismert a SmadavProtect program használatáról, amelyet a biztonsági rendszerek kijátszására terveztek. „Állami Taurus továbbra is bizonyítja a hatékony és tartós kiberspionázs műveletek végrehajtásában való jártasságát, mint az egyik legaktívabb kínai APT,” jegyezték meg a kutatók.
Az esetek globális célpontjai összhangban állnak a kínai kormány geopolitikai érdeklődési körével. A felfedezés egyidejűleg történt egy dél-koreai APT csoport, a Higaisa aktivitásának feltárásával, amely kínai felhasználókat célozott meg, OpenVPN-hez hasonló adathalász weboldalakon keresztül.
„Ezek a támadások Rust alapú kártékony szoftvereket telepítettek és futtattak a rendszereken, aktiválva egy shellcode-ot,” tájékoztatott a Cyble. „A shellcode anti-debugging és dekódoló műveleteket hajt végre, majd titkosított parancs-és-vezérlés (C&C) kommunikációt hoz létre a távoli fenyegető szereplővel.”
nov 1, 2023 | Egyéb
Digitális csalások elleni harcban gyakran kiemelik a kétlépcsős azonosítás és bonyolult jelszavak fontosságát. Azonban ezek az intézkedések sem nyújtanak teljes körű védelmet az agyafúrt hackerekkel szemben, akik rafinált módszereket alkalmaznak. Egy apró figyelmetlenség is elegendő lehet a bajhoz, amit egy magyar marketingügynökség dolgozója is megtapasztalt. A kiberbiztonsággal foglalkozó G Data vállalattal szoros kapcsolatot ápoló személy esete komoly figyelmeztetést jelent. A probléma felmerülésekor az illető azonnal értesítette a G Data-t, aki részletesen elemezte és publikálta az eseményeket, rámutatva a Facebook biztonsági réseire is.
A csapda
A közösségi média, különösen a Facebook, fontos szerepet játszik a reklámszakmában. Marketingügynökségek gyakran használják ezeket a platformokat, vállalati bankkártyáikat összekapcsolva a hirdetésekkel. Így nem meglepő, hogy adathalászok gyakran célozzák meg ezeket a cégeket, ügyfeleknek álcázva magukat.
Egy nyári esetben a csalók egy magyar ügynökséget vettek célba, látszólag több létező ruhamárka nevében felkeresve őket. Egy kommunikációs kampányhoz kerestek partnert, információs anyagokat küldve részben emailben, részben az ügynökség online felületén keresztül. Gyanút keltő jel volt, hogy a céges domain nem szerepelt a levelekben. Például az „O My Bag” táskagyártó nevében küldött email nem a cég hivatalos email címéről, hanem egy Gmail-es fiókból érkezett, az anyagok pedig OneDrive-ra lettek feltöltve. A csalók hitelesnek tűnő levelet és jelszóval védett .zip fájlt küldtek, amely 11 ártalmatlan médiafájlt és egy kártékony .scr fájlt tartalmazott. Az ügynökség dolgozója megnyitotta a fájlt, aktiválva ezzel a malware-t.
A betörés
A kártevő első lépése a Windows rendszerben egy indítófájl létrehozása volt, hogy minden indításkor aktív legyen. Ez lehetővé tette a böngészőben tárolt session tokenek és a Facebook-fiókhoz való hozzáférést. Az adathalászok hamarosan hozzájutottak a munkatárs Facebook-fiókjának és hirdetéskezelési felületének adataihoz, így saját hirdetéseiket indítva el a magyar ügynökség fiókjából.
A megoldás
A G Data szakértői szerint a legfontosabb védekezés a gyanakvás és az alapos figyelem. A kétlépcsős azonosítás segíthet, de ha a gép már fertőzött, nem nyújt teljes védelmet. Javasolt a gyanús email-ek és fájlok azonnali törlése, valamint egy megbízható víruskereső használata.
A következmények
A magyar ügynökség esete nem egyedülálló, az internetes csalások világszerte növekvő tendenciát mutatnak. A legjobb védekezés a folyamatos tájékozódás és a kiberbiztonsági megoldások használata. Fontos, hogy minden internetező tudatában legyen a digitális világ veszélyeinek és mindig éber maradjon az új fenyegetésekkel szemben.
Forrás: www.telex.hu
