0
0
A ESET Research descobriu uma campanha de ciberespionagem ainda em andamento usando uma variante Korplug não documentada anteriormente pelo grupo Mustang Panda APT. A campanha atual explora a guerra na Ucrânia e outros tópicos de notícias europeus.
As vítimas conhecidas incluem entidades de pesquisa, provedores de serviços de internet (ISPs) e missões diplomáticas europeias localizadas principalmente no Leste e Sudeste asiático. Pesquisadores nomearam esta nova variante Korplug Hodur devido à sua semelhança com a variante THOR documentada em 2020. Na mitologia nórdica, Hodur é o meio-irmão cego de Thor.
As vítimas desta campanha provavelmente são atraídas com documentos de phishing abusando dos últimos eventos na Europa, como a invasão da Ucrânia pela Rússia. Isso resultou em mais de três milhões de residentes fugindo da guerra para países vizinhos, segundo o ACNUR, levando a uma crise sem precedentes nas fronteiras da Ucrânia. Um dos nomes de arquivo relacionados a esta campanha é “Situação nas fronteiras da UE com a Ucrânia.exe”.
Outras iscas de phishing mencionam restrições de viagem atualizadas do COVID-19, um mapa de ajuda regional aprovado para a Grécia e um regulamento do Parlamento Europeu e do Conselho. A isca final é um documento real disponível no site do Conselho Europeu. Isso mostra que o grupo APT por trás desta campanha está acompanhando os assuntos atuais e é capaz de reagir com sucesso e rapidamente a eles.
“Com base nas semelhanças de código e nas muitas semelhanças em Táticas, Técnicas e Procedimentos, os pesquisadores da ESET atribuem esta campanha com alta confiança ao Mustang Panda, também conhecido como TA416, RedDelta ou PKPLUG. É um grupo de ciberespionagem voltado principalmente para entidades governamentais e ONGs”, explica o pesquisador de malware da ESET Alexandre Côté Cyr, que descobriu Hodur. As vítimas do Mustang Panda são principalmente, mas não exclusivamente, localizadas no Leste e Sudeste asiático com foco na Mongólia. O grupo também é conhecido por sua campanha voltada para o Vaticano em 2020.
Embora os pesquisadores não tenham sido capazes de identificar as verticais de todas as vítimas, esta campanha parece ter os mesmos objetivos de segmentação que outras campanhas do Mustang Panda. Seguindo a vitimologia típica da APT, a maioria das vítimas está localizada no Leste e Sudeste asiático, juntamente com algumas em países europeus e africanos. De acordo com a telemetria da ESET, a grande maioria dos alvos está localizada na Mongólia e no Vietnã, seguida por Mianmar, com apenas alguns em outros países afetados, ou seja, Grécia, Chipre, Rússia, Sudão do Sul e África do Sul. As verticais identificadas incluem missões diplomáticas, entidades de pesquisa e ISPs.
As campanhas do Mustang Panda frequentemente usam carregadores personalizados para malware compartilhado, incluindo Cobalt Strike, Poison Ivy e Korplug (também conhecido como PlugX). O grupo também é conhecido por criar suas próprias variantes Korplug. “Em comparação com outras campanhas usando o Korplug, cada etapa do processo de implantação utiliza técnicas anti-análise e ofuscação de fluxo de controle, para tornar a investigação mais difícil para nós, pesquisadores de malware“, conclui Côté Cyr.
FONTE: HELPNET SECURITY