野马熊猫黑客积极攻击全球政府

一个臭名昭著的高级持续威胁行为者野马熊猫已经与针对世界各地政府、教育和研究部门的大量鱼叉式网络钓鱼攻击有关。

网络安全公司Trend Micro在周五的一份报告中表示，2022年5月至10月的入侵主要目标包括缅甸、澳大利亚、菲律宾、日本和台湾等亚太地区的国家。

野马熊猫（Mustang Panda），也被称为青铜总统（Bronze President）、地球女神（Earth Preta）、蜂蜜神话（HoneyMyte）和红巫妖（Red Lich），是一名中国间谍演员，据信至少自2018年7月以来一直活跃。该组织以使用中国斩波器（China Chopper）和PlugX等恶意软件从受损环境中收集数据而闻名。

ESET、Google、Proofpoint、Cisco Talos和Secureworks今年记录了该组织的活动，揭示了该威胁行为者使用PlugX（及其变体Hodur）感染亚洲、欧洲、中东和美洲范围广泛的实体的模式。

Trend Micro的最新发现表明，野马熊猫继续发展其策略，以逃避检测，并采用感染程序，从而部署定制的恶意软件家族，如TONEINS、TONESHELL和PUBLOAD。

研究人员Nick Dai、Vickie Su和Sunny Lu表示：“Earth Preta滥用假谷歌账户，通过鱼叉式网络钓鱼电子邮件分发恶意软件，最初存储在存档文件（如RAR/ZIP/JAR）中，并通过Google Drive链接分发”。

通过包含有争议的地缘政治主题的诱饵文件，诱使目标组织下载并触发恶意软件，从而促进了初始访问。

在某些情况下，网络钓鱼消息是从属于特定实体的先前被泄露的电子邮件帐户发送的，这表明野马熊猫演员为提高其活动成功的可能性所做的努力。

存档文件在打开时被设计为向受害者显示引诱文档，同时通过称为DLL侧加载的方法在后台偷偷加载恶意软件。

攻击链最终导致三个恶意软件系列；PUBLOAD、TONEINS和TONESHELL–；其能够下载下一级有效载荷并在雷达下飞行。

袭击中使用的主要后门TONESHELL是通过TONEINS安装的，是一个外壳代码加载器，2021 9月检测到植入物的早期版本，这表明威胁行为体仍在继续努力更新其武器库。

研究人员总结道：“Earth Preta是一个网络间谍组织，以开发自己的装载机和现有工具（如PlugX和Cobalt Strike）相结合的方式进行妥协”。

“一旦该组织渗透到目标受害者的系统中，被盗的敏感文件就可能被滥用为下一波入侵的进入媒介。这一策略在很大程度上扩大了相关地区的受影响范围”。