TonShell zadnja vrata uporabljena za ciljanje udeležencev obrambnega vrha IISS 2024 v Pragi
Skupina groženj Mustang Panda, povezana z orodjem za kibernetsko vohunjenje TonShell, je bila nedavno vpletena v ciljanje na udeležence prestižnega obrambnega vrha IISS v Pragi leta 2024. Ta dogodek, osredotočen na obrambo in varnost v evroatlantski regiji, je postal tarča napadalcev, ki si prizadevajo pridobiti občutljive varnostne in obrambne informacije.
Sumljiv izvršljiv program razkriva kibernetsko grožnjo
Analitiki so med triažo na Hatching Triage platformi odkrili sumljiv izvršljiv program “IISS PRAGUE DEFENCE SUMMIT (8–10 November 2024).exe”, ki je vzbudil skrb zaradi svojega pomena za visokoprofilni dogodek. Nadaljnja preiskava je pokazala, da je program povezan z napadalnimi dejavnostmi skupine Mustang Panda.
Pri analizi PCAP je bil razkrit omrežni promet, ki je komuniciral s C2 strežnikom s tipičnimi znaki “17 03 03”. To je nakazovalo na uporabo zlonamerne programske opreme Toneshell in PubLoad. Poleg tega je isti izvršljiv program pokazal podobno obnašanje na platformi ANY.RUN, kar je še dodatno utrdilo sume o zlonamerni naravi programa.
Načini napada: Družbeni inženiring in lažni dokumenti
Navedeni arhiv je uporabil družbene inženirske taktike skozi ponarejen PDF. Po ekstrakciji arhiva so bile razkrite dve mapi: ena je vsebovala zlonamerni izvršljiv program, druga pa na videz legitimni PDF z naslovom “Annex 2 – IISS PRAGUE DEFENCE SUMMIT… – Copy.pdf.”
Preiskava je pokazala, da je PDF natančna kopija pravega dokumenta, ki je na voljo na spletni strani IISS, z edino razliko v imenu datoteke. Namen je bil zmanjšati sumljivost, da bi napačni dokument omogočil delovanje zlonamerne programske opreme v ozadju brez zaznavanja.
Napadalci so poslali ZIP datoteko, ki je vsebovala lažni PDF in zlonamerno PIF datoteko, ki se je predstavljala kot dokument z dnevnim redom. Ta je izvajala SFFWallpaperCore.exe in libemb.dll ter uporabljala načrtovano opravilo za zagon SFFWallpaperCore.exe vsakih 6 minut.
SFFWallpaperCore.exe je verjetno naložil libemb.dll, DLL knjižnico Mustang Panda, ki vsebuje sklice na Twitter račune in komunicira s C2 strežnikom na 103.27.108.14 na portu 443 s surovim TCP, preoblečenim v TLS protokol.
Napadalne taktike skupine Mustang Panda
APT skupina Mustang Panda uporablja samo-podpisane RDP certifikate za skrivanje svojega C2 strežnika, ki gostuje na ASN podjetja Topway Global Limited iz Hongkonga. RDP certifikat je bil izdan 25. avgusta 2021 in je bil veljaven le kratek čas.
Napredno iskanje portala Hunt je identificiralo druge strežnike, ki uporabljajo isti certifikat; razen enega so vsi na istem ASN kot C2 strežnik, kar nakazuje, da so ti strežniki verjetno pod nadzorom istega napadalca in se uporabljajo za ohranjanje operativnega nadzora in prilagodljivosti.