vpn网络代理加速器
臭名昭著的中国APT组织 "野马熊猫 "的主要攻击目标是亚洲和欧洲的政府和政治组织。
自今年年初以来,中国网络间谍组织 "野马熊猫"(Mustang Panda)在其攻击中使用了一种名为 "MQsTTang "的新定制后门。 野马熊猫曾以全球组织为目标,利用其定制的远程访问木马(RAT)PlugX窃取数据。
然而,这一次,该组织开发了MQsTTang后门恶意软件,以增加检测和归因的难度。 此外,野马熊猫还开始使用其他定制工具,包括PUBLOAD、TONESHELL和TONEINS。
实现恶意软件持久性的一种方法是在 "HKCU\Software\Microsoft\Windows\CurrentVersion\Run "中创建一个新的注册表键值,使恶意软件能够在系统启动时自动启动。 一旦系统重新启动,恶意软件仅执行C2通信任务,这使其能够与其命令和控制服务器进行通信。
来自ESET的研究人员在2023年1月开始的持续活动中发现了MQsTTang。 该活动针对欧洲和亚洲的政府和政治组织,特别关注乌克兰和台湾。
恶意软件是通过鱼叉式网络钓鱼电子邮件传播的,有效载荷是从与Mustang Panda以前的活动有关联的用户创建的GitHub存储库中下载的。
MQsTTang可执行文件被压缩成RAR压缩文件,并以外交主题命名,如大使馆和外交使团人员的护照扫描。 执行时,恶意软件会生成一个带有命令行参数的副本,允许其执行启用C2通信或保证持久性等任务。
MQsTTang通过使用MQTT协议进行C2通信而与众不同,这增强了其对C2攻击的抵御能力,掩盖了黑客所使用的基础设施,涉及到传输通信的代理,并验证了没有调试器/监控工具来逃避检测。
根据ESET的报告,"这个新的MQsTTang后门提供了一种远程外壳,没有任何与该组织其他恶意软件家族相关的功能"。
