محققان امنیتی ESET یک درب پشتی سفارشی جدید را کشف کرده اند که MQsTTang نامیده اند و آن را به گروه تهدید دائمی پیشرفته (APT) معروف به موستانگ پاندا نسبت می دهند.
الکساندر کوته سیر، محقق بدافزار ESET، در توصیهای که در 2 مارس 2023 منتشر شد، توضیح داد که درپشتی جدید بخشی از کمپین در حال انجام است که شرکت به اوایل ژانویه ردیابی کرده است.
برخلاف بسیاری از بدافزارهای گروه، به نظر نمیرسد که MQsTTang مبتنی بر خانوادههای موجود یا پروژههای در دسترس عموم باشد.
Côté Cyr همچنین تاکید کرد که در حالی که موستانگ پاندا بهخاطر انواع Korplug (AKA PlugX) و زنجیرههای بارگیری پیچیدهاش شناخته شده است، MQsTTang یک بدافزار نسبتا سادهتر است.
کارشناس بدافزار نوشت: «در انحراف از تاکتیکهای معمول گروه، MQsTTang تنها یک مرحله دارد و از هیچ تکنیک مبهمسازی استفاده نمیکند. همچنین در بایگانی های RAR که فقط یک فایل اجرایی دارند توزیع می شود.
“این آرشیوها بر روی یک سرور وب بدون نام دامنه مرتبط میزبانی می شوند. این واقعیت، همراه با نام فایلها، ما را به این باور میرساند که بدافزار از طریق spear phishing منتشر شده است.»
همانطور که از نام آن پیداست، درب پشتی از پروتکل حمل و نقل تله متری صف پیام (MQTT) استفاده می کند، که معمولاً برای ارتباط دستگاه-کنترل کننده اینترنت اشیا، برای ارتباطات C&C استفاده می شود.
یکی از مزایای MQTT این است که بقیه زیرساخت های [خود] را پشت یک کارگزار پنهان می کند. بنابراین، ماشین در معرض خطر هرگز مستقیماً با سرور C&C ارتباط برقرار نمی کند.
در رابطه با اهداف، محقق گفت موستانگ پاندا از درپشتی جدید برای آلوده کردن نهادهای ناشناخته در استرالیا و بلغارستان و همچنین یک موسسه دولتی در تایوان استفاده کرد.
در مشاوره ESET آمده است: «با این حال، به دلیل ماهیت نامهای فریب مورد استفاده، ما معتقدیم که سازمانهای سیاسی و دولتی در اروپا و آسیا نیز مورد هدف قرار گرفتهاند.
این تحقیق دو پس از آن انجام شد که آژانس امنیت سایبری اتحادیه اروپا (ENISA) نشریه ای را منتشر کرد که به کشورهای عضو در مورد چندین APT چینی از جمله موستانگ پاندا هشدار داد
