0
0
Também conhecido como Earth Preta, RedDelta e TA416, acredita-se que o Mustang Panda esteja operando em nome do governo chinês e foi visto anteriormente visando entidades diplomáticas europeias e várias empresas de telecomunicações .
A análise da Trend Micro de vários ataques observados em 2022 revelou que o ator de ameaça persistente avançada (APT) coordena vários subgrupos em um esforço colaborativo para coletar informações confidenciais das entidades visadas e uma mudança na segmentação no final do ano passado.
“A Terra Preta tem uma unidade de desenvolvimento centralizada que produz os implantes e ferramentas e os divulga para outros grupos operacionais responsáveis pela penetração e implantação. Isso é evidente no grupo Earth Preta, pois parece que vários grupos suboperacionais usam o mesmo conjunto de ferramentas com técnicas diferentes”, observa a Trend Micro.
Cada um dos grupos operacionais, descobriu a empresa de segurança cibernética, usa seus próprios métodos de intrusão e escalonamento de privilégios, mas parece faltar coordenação e planejamento no nível gerencial, já que os grupos às vezes podem ter como alvo a mesma entidade, buscando objetivos semelhantes.
No geral, a Trend Micro identificou mais de 200 vítimas do Mustang Panda, abrangendo transporte, governo, manufatura, fabricação, construção, educação, finanças, produção de alimentos, controle de fronteira e imigração e setores de energia, bem como grupos humanitários.
Mais da metade das vítimas foram localizadas na Ásia, seguidas pela África, Europa e Oriente Médio.
As sobreposições de direcionamento observadas levaram à identificação de vários subgrupos, incluindo os Grupos 724, 1358 e 5171, cada um operando tipicamente em diferentes setores e regiões geográficas.
O Grupo 724 usa dispositivos de armazenamento USB personalizados para acesso inicial e depende do carregamento lateral com o Adobe CEF Helper para persistência.
O Grupo 1358, que conta com o WSC DLL da Avast para sideload e WMI para execução de código, usa a ferramenta de acesso remoto PlugX (RAT) para exfiltração de dados, geralmente por meio de unidades USB.
O Grupo 5171 também usa o sideload de DLL com o Adobe CEF Helper e emprega exfiltração de dados baseada em USB. O que o diferencia dos outros grupos é a infecção de laptops com códigos maliciosos durante viagens de trabalho rotineiras, o que leva a uma exploração mais elaborada e a movimentos laterais.
“As operações de ciberespionagem da Terra Preta têm amplo alcance e capacidade de atingir alvos de alto valor. A mudança nas prioridades de coleta para inteligência em áreas específicas também indica que o Earth Preta está visando infraestrutura crítica e instituições-chave que podem afetar relações nacionais e internacionais, economias e valores mobiliários”, conclui a Trend Micro.
FONTE: SECURITYWEEK