Группа Mustang Panda (Twill Typhoon), была замешана исследователями Hunt.io в кампании кибершпионажа против правительственных организаций в Юго-Восточной и Восточной Азии, причем недавние действия, вероятно, были направлены на участников саммита по обороне Международного института стратегических исследований (IISS) 2024 года в Праге. Саммит - мероприятие высокого уровня, в котором принимают участие высокопоставленные политические и оборонные деятели, - представляет собой привлекательную цель для кибершпионажа из-за деликатных обсуждений оборонных стратегий и геополитической напряженности.
ToneShell Backdoor
Бэкдор ToneShell был обнаружен в исполняемом файле с именем «IISS PRAGUE DEFENCE SUMMIT (8 - 10 November 2024).exe», который также содержал ложный PDF-документ, выдаваемый за повестку дня саммита, который был точной копией легитимного документа повестки дня с официального сайта IISS. Вредоносная программа была спрятана в файле Program Information File (PIF), подписанном «Hefei Nora Network Technology Co.», который выступал в роли дроппера, обеспечивающего устойчивость через ключ запуска в реестре и запланированное задание.
Сервер C2, размещенный на инфраструктуре Topway Global Limited в Гонконге, использует такие приемы, как имитация TLS-трафика, чтобы избежать обнаружения. Дальнейший анализ сетевого трафика вредоносной программы показал, что она использует знакомые «волшебные байты», связанные с деятельностью ToneShell и PubLoad, что, по мнению Hunt.io, подтверждает причастность Mustang Panda. Исследователи также обнаружили сетевую инфраструктуру, возможно, связанную с группой, в которой присутствуют IP-адреса с общими сертификатами RDP, что свидетельствует о скоординированной деятельности.
Indicators of Compromise
SHA256
- 057fd248e0219dd31e1044afb7bc77c5f30a7315e136adfcca55ce1593d6cf5d
- 1387ec22a3391647e25d2cb722cd89e255d3ebfe586cf5f699eae22c6e008c34
- 901d713d4d12afbcee5e33603459ebc638afd6b4e2b13c72480c90313b796a66
- f8e130e5cbbc4fb85d1b41e1c5bb2d7a6d0511ff3b224eb3076a175e69909b0d
