Célpontban az indiai kormányzati és energiaszektor
Az Acronis Threat Research Unit két, egymással összefüggő, kémkedési célú kampányt azonosított, amelyeket nagy bizonyossággal a kínai kötődésű Mustang Panda (Earth Preta, Bronze President) hajt végre. A célpontok között indiai kormányzati szervezetek, valamint a vízenergia-ipar szerepelnek, különösen olyan intézmények, amelyek tajvani kormányzati szervezetekkel kötött együttműködési megállapodásokban vesznek részt. A kampány újdonsága három korábban nem dokumentált malware-komponens a SHARDLOADER betöltő, a MINIRECON felderítő modul és a ZOHOMURK backdoor. A fertőzés hidrológiai és kormányzati témájú csaliállományokat tartalmazó ZIP-tömörítésből indul, amelyek DLL side-loading technikával telepítik a SHARDLOADER-t. Ez gondoskodik a perzisztenciáról, majd memóriából betölti a ZOHOMURK vagy a MINIRECON modult. A kutatók több kompromittált indiai kormányzati rendszert – köztük vezető adminisztratív dolgozók munkaállomásait – azonosítottak, és az incidensek kezelése során együttműködtek az indiai CERT-In szervezettel.
A ZOHOMURK, amely a hagyományos C2 infrastruktúra helyett a legitim Zoho WorkDrive felhőszolgáltatást használja parancs- és vezérlési kommunikációra, fájlok feltöltésére, adatlopásra és távoli parancsvégrehajtásra. Mivel a Zoho termékeit széles körben alkalmazzák Indiában, a forgalom beleolvad a normál vállalati kommunikációba, jelentősen megnehezítve az észlelést. A MINIRECON ezzel párhuzamosan részletes rendszerfelderítést végez, adatokat gyűjt a gépről, a felhasználóról és a hálózati környezetről. Az Acronis szerint a malware-ek kódszintű hasonlóságot mutatnak a Mustang Panda korábban használt TONESHELL eszközkészletével, ami alátámasztja az attribúciót.
A csoport egyre tudatosabban használ legitim felhőszolgáltatásokat a rejtett C2 kommunikációhoz, ami jól illeszkedik a modern állami kiberkémkedési műveletek azon trendjéhez, hogy a támadók a hagyományos, könnyebben blokkolható infrastruktúrát megbízható SaaS-platformokra cserélik.
