Новейший арсенал Mustang Panda: ToneShell и StarProxy

ToneShell, бэкдор, используемый Mustang Panda, был обновлен, внесены изменения в протокол передачи команд и управления (C2) FakeTLS, а также в методы создания и хранения идентификаторов клиентов. Также был обнаружен новый инструмент латерального перемещения, названный StarProxy, который использует протокол FakeTLS для проксирования трафика.

Mustang Panda продолжает активные атаки в Мьянме и использует технику боковой загрузки DLL, для чего инструменты упаковываются в RAR-архивы вместе с легитимными файлами.

ToneShell - один из часто используемых инструментов Mustang Panda. Три новых варианта ToneShell были обнаружены, где инструмент загружается боковой загрузкой DLL. Генераторы случайных чисел используются для генерации GUID и ключей шифрования данных между машиной жертвы и сервером C2.

Каждый вариант ToneShell генерирует GUID или значение, полученное из GUID, и записывает его в файл, используя различные методы. Созданный GUID используется для идентификации зараженной машины.

IPv4

• 181.215.246.155
• 43.229.79.163
• 43.254.132.217

Domains

• www.dest-working.com
• www.profile-keybord.com

MD5

• 1b388ef6594415421ef1b3cd9502fc7a
• 2012bf5de269d9acd0bfd7250ab46c68
• 233214d22659aa85f32bb705812a0b22
• 3ed1b60aada8ec3fc0965976c542dda5
• 4572914d6fd4b50604b30c761736ef7d
• 4fefc66a0f7e1b2ed8affc9c3ba66ec7
• 5788433d90e3297b32dfa009790490aa
• 5936b135905bee8f038b9266362f22c7
• 6164f397ff13c56310e94af235a9aa02
• 784bcd1f62b97589f479525d27f883cb
• 7c65d1e28fadf9b6d704b5c47016c05d
• 9afdcf5369eca11d412870f7cb805da9
• b695a31ea90e61cc08da1837d836655a
• d7ae078b2641b94c8042424a1387851b
• db26dbad33580489204320c9c5ea400b

SHA1

• 03272f764bc0f6d80a830c164a5357cd9179030e
• 092cd5ad641ce749c100c2ad045e4aabb9bb7e90
• 0d186cd1ecc525716ac08cbd5f59c58e44d08202
• 1afde3bfe7ff7a9a164c9e6a0de12f5f1ce50b9a
• 20b4624781bdc1f670942dc07bf673abd1c5e70f
• 296c37ab1985c08bd3b194b129392c8d4d164399
• 337850d965dd9860162c2084d83d4113bac95593
• 428c4da69023ec6ca7d253e5c643fd1c2689c55c
• 67d777f491b89d052c709cec7762b91ab514d3e6
• 70b286728cf006ae6da37d918d372b7cedd40855
• 81dce30dfb85d8a110f384ab72f23081f20f500d
• b2544370e041c2b3d38e5b1c0a22b4eab2d70588
• da01214c5df3ee4a5a6b99414e4bb1fd88f6eb3e
• f435900ebbc8a46c3b0b273d48b2ac149a35b194
• fcc7095f6ddbffb7c2ca29188c45bbdf4c922c66

SHA256

• 005754ced6f73a197a4a21c58da39d5e3ee84e484640765dbda2475f4ba2d3bd
• 21e271bde14b62a1c982ea3aefc1c42a7f5b412126e920e7dd4200cbf14fe475
• 57e22a93fc31bd299871840864e82fa553e99501af7645102d07dceed2a8ef1a
• 63aa30c452e4dc0aa2324ce891da1acfa90ce85476d2dd7ab85ff448f913af5e
• 649b32f2db7d71cd083e9af4fae2fb3c086f5ed73eac622f427f7fa5d513c605
• 69555f4d956fce11eac8fb6d7286c087d6acacf7971821ede1335e96a3c72736
• 88e1b73318ba2107c2e70a59064d51e4fecd37ab6175735e43abfa8657d2cd91
• 8fe76b434c9d57d5b82a786bcfac5aa3a75be88b19df5cd76e111af58c3c98c5
• 91d8b31259d8602539fb6eaa0588d6521bf01299ccd8ed830abfe2ace7aea54d
• a0f42337601429ffda00aa64b8e6102e2470b2388c132f96002f37d40f40d587
• a901fd9ef4044a872866ad9506cf3e17cbf58b93278ac3ca7e48820b3a228458
• a9b1289383ffe3ee2bd0df96ad6918b9a7e27819e4bc10c3922d8bbd61cbd959
• c1d24a5cb1d57a91cf4a717425bd0d46b4436d14d7f4744fa8dfbb22609f57a8
• cf1f057bc8cb25b2d6d0704cef0655ea4d41ea247c51984b25635bd23c8ae109
• ede116e8f652728773363f6808fa8bbd5af873398e4bb5393c210677fa96a654