Mustang Panda APT组织更新武器库

网络安全公司 Zscaler 报告称，被追踪为 Mustang Panda 的 APT 组织在最近的一次攻击中使用了更新的后门和几种新工具。

该黑客组织活跃了十多年，也被称为 Basin、Bronze President、Earth Preta 和 Red Delta，主要针对东亚（但也包括欧洲）敏感目标。

据观察，该威胁组织使用 Windows 0day漏洞进行攻击，并据信已使用 PlugX RAT 感染了美国超过 4,000 台计算机。今年 1 月，美国联邦调查局 (FBI) 和法国执法部门利用该恶意软件的自删除机制将其从受感染的计算机中删除。

作为最近观察到的针对缅甸某个组织的攻击的一部分，Mustang Panda 部署了其 ToneShell 后门的更新版本，以及名为 StarProxy 的新工具、Paklog 和 Corklog 键盘记录器以及 SplatCloak EDR 逃避驱动程序。

Zscaler 指出，APT 依靠 DLL 侧载来执行其恶意负载并逃避检测，将所有工具部署为档案中的库，其中还包含一个可加载这些工具的易受攻击的可执行文件。

ToneShell 是 Mustang Panda 武器库中最常用的工具之一，它是一个第二阶段后门，支持文件操作和执行额外的有效载荷。

在登台服务器和第三方恶意软件存储库中发现的 三种新后门变种主要侧重于有效载荷执行，并采用更新的 FakeTLS 命令和控制 (C&C) 通信协议来逃避基于网络的检测。

StarProxy 是一种用于横向移动的新型 Mustang Panda 工具，旨在使用基于 FakeTLS 协议的 TCP 套接字代理受感染主机和 C&C 服务器之间的流量。

Zscaler 指出：“鉴于恶意软件的功能及其命令行参数的使用，Mustang Panda 很可能使用 StarProxy 作为后期攻击工具来访问无法通过互联网直接访问的系统。”

Paklog 键盘记录器依赖高级 Windows API 来记录键盘输入并监控剪贴板。Zscaler在一篇技术博客文章中解释道，由于该键盘记录器缺乏数据泄露功能，因此收集到的信息存储在本地。

Corklog 键盘记录器将收集到的数据存储在加密文件中，并通过在系统上创建服务或计划任务来建立持久性。

SplatCloak 驱动程序使用 SplatDropper 实用程序部署，旨在识别并禁用 Windows Defender 和卡巴斯基安全软件。它还可以删除与这些防御产品相关的通知挂钩和回调，并动态解析 Windows API 函数。

Zscaler 指出：“工具重叠——尤其是 ToneShell 的加入——将 Mustang Panda 与此活动紧密联系起来。此外，新发现工具的技术重叠与之前的 Mustang Panda 恶意软件一致，包括控制流平坦化、混合布尔运算和 RC4 加密等技术，这些都是 Mustang Panda 定制 PlugX 变体的标志性特征。”

技术报告：

https://www.zscaler.com/blogs/security-research/latest-mustang-panda-arsenal-paklog-corklog-and-splatcloak-p2

新闻链接：

https://www.securityweek.com/chinese-apt-mustang-panda-updates-expands-arsenal/