Кинеската хакерска група Mustang Panda распоредува крадци на информации преку backdoor-от CoolClient

Кинеската шпионска заканувачка група Mustang Panda го ажурираше својот CoolClient backdoor во нова варијанта која може да краде податоци за најава од прелистувачи и да го надгледува clipboard-от.

Според истражувачите од Kaspersky, малициозниот софтвер бил користен и за распоредување на досега невиден rootkit. Сепак, техничка анализа ќе биде објавена во идниот извештај.

CoolClient е поврзан со Mustang Panda уште од 2022 година и се користи како секундарен backdoor заедно со PlugX и LuminousMoth. Ажурираната верзија на малициозниот софтвер е забележана во напади насочени кон владини институции во Мјанмар, Монголија, Малезија, Русија и Пакистан, при што била распоредена преку легитимен софтвер од Sangfor, кинеска компанија специјализирана за сајбер-безбедност, cloud computing и ИТ инфраструктурни производи.

Претходно, операторите на CoolClient го активирале малициозниот софтвер преку DLL side-loading, злоупотребувајќи потпишани бинарни датотеки од Bitdefender, VLC Media Player и Ulead PhotoImpact.

Истражувачите од Kaspersky наведуваат дека CoolClient backdoor-от собира детали за компромитираниот систем и неговите корисници, како што се името на компјутерот, верзијата на оперативниот систем, количината на RAM меморија, мрежни информации, како и описите и верзиите на вчитаните драјвер модули.

CoolClient користи енкриптирани .DAT датотеки во повеќефазна извршна шема и обезбедува перзистентност преку модификации во Registry, додавање нови Windows сервиси и закажани задачи. Исто така поддржува заобиколување на UAC и ескалација на привилегии.

Основните функции на CoolClient се интегрирани во DLL вградена во датотека наречена main.dat. „Кога се стартува, прво проверува дали се овозможени keylogger-от, крадецот на clipboard и sniffer-от за акредитиви од HTTP proxy,“ наведуваат истражувачите.

Нови можности на CoolClient

Основните функции на малициозниот софтвер, вклучувајќи профилирање на системот и корисникот, операции со датотеки, keylogging, TCP тунелирање, reverse-proxy функционалност и извршување динамички преземени приклучоци во меморија, се присутни и во старите и во новите верзии, но се доусовршени во најновите варијанти.

Она што е целосно ново во најновиот CoolClient е модул за следење на clipboard-от, можност за активно следење на насловите на активните прозорци и sniffer за акредитиви од HTTP proxy кој се потпира на инспекција на сурови пакети и извлекување на заглавија.

Дополнително, екосистемот на приклучоци е проширен со наменски приклучок за далечинска школка (remote shell), приклучок за управување со сервиси и понапреден приклучок за управување со датотеки.

Приклучокот за управување со сервиси им овозможува на операторите да ги набројуваат, креираат, стартуваат, запираат, бришат и да ја менуваат конфигурацијата за стартување на Windows сервиси, додека приклучокот за управување со датотеки обезбедува проширени операции со датотеки, вклучувајќи набројување на дискови, пребарување датотеки, ZIP компресија, мапирање мрежни дискови и извршување датотеки.

Функционалноста за далечинска школка е имплементирана преку посебен приклучок кој стартува скриен cmd.exe процес и ги пренасочува неговиот стандарден влез и излез преку pipes, овозможувајќи интерактивно извршување команди преку командно-контролниот (C2) канал.

Новина во работењето на CoolClient е и распоредувањето на infostealers за собирање податоци за најава од прелистувачи. Kaspersky документираше три различни фамилии насочени кон Chrome (варијанта A), Edge (варијанта B) и пофлексибилна варијанта C која таргетира било кој прелистувач базиран на Chromium.

Друга значајна оперативна промена е тоа што кражбата на податоци од прелистувачи и ексфилтрацијата на документи сега користат вградени (hardcoded) API-токени за легитимни јавни сервиси како Google Drive или Pixeldrain, со цел да се избегне детекција. Mustang Panda продолжува да го унапредува својот сет на алатки и оперативни карактеристики. Минатиот месец, Kaspersky извести за нов kernel-mode loader кој распоредуваше варијанта на backdoor-от ToneShell на владини системи.

Претходно овој месец, Националното биро за безбедност на Тајван го рангираше Mustang Panda меѓу најпродуктивните и најмасовните закани што ја таргетираат критичната инфраструктура на земјата.

Извори:

• Bleeping Computer – Chinese Mustang Panda hackers deploy infostealers via CoolClient backdoor Bleeping Computer