Google Drive-Malware zielt auf Regierungen auf der ganzen Welt ab(0)

Ein staatlich geförderter chinesischer Bedrohungsakteur namens Mustang Panda zielt mit drei Malware-Varianten auf Regierungsorganisationen und Forscher auf der ganzen Welt ab, die auf Google Drive, Dropbox und ähnlichen Cloud-Speicherlösungen gehostet werden.

Forscher von Trend Micro haben kürzlich die neue Malware-Kampagne entdeckt, die sich hauptsächlich an Organisationen in Australien, Japan, Taiwan, Myanmar und den Philippinen richtet.

Mustang Panda wurde im März 2022 initiiert und dauerte mindestens bis Oktober. Die Angreifer erstellten eine Phishing-E-Mail, sendeten sie an eine falsche Adresse, während das eigentliche Opfer im CC blieb. Auf diese Weise, so vermuten die Forscher, wollten die Angreifer die Wahrscheinlichkeit minimieren, von Antiviren-Tools, E-Mail-Sicherheitslösungen und ähnlichem erfasst zu werden.

Bereitstellung bösartiger Archive

„Der Betreff der E-Mail ist möglicherweise leer oder hat denselben Namen wie das bösartige Archiv“, heißt es in dem Bericht. „Anstatt die Adressen der Opfer zum „To“-Header der E-Mail hinzuzufügen, verwendeten die Angreifer gefälschte E-Mails. In der Zwischenzeit wurden die Adressen der echten Opfer in den „CC“-Header geschrieben, was wahrscheinlich Sicherheitsanalysen entgeht und Ermittlungen verlangsamt.“

Um eine Entdeckung zu vermeiden, speichern sie die Malware auch auf legitimen Cloud-Speicherlösungen in einer .ZIP- oder .RAR-Datei, da diese Plattformen normalerweise von Sicherheitstools auf die weiße Liste gesetzt werden. Sollte das Opfer jedoch auf den Trick hereinfallen, die Archivdatei herunterladen und ausführen, würde es diese drei benutzerdefinierten Malware-Stämme erhalten: PubLoad, ToneIns und ToneShell.

PubLoad ist ein Stager, der verwendet wird, um die Nutzdaten der nächsten Stufe von seinem C2-Server herunterzuladen. Es fügt auch neue Registrierungsschlüssel und geplante Aufgaben hinzu, um Persistenz herzustellen. ToneIns ist ein Installationsprogramm für ToneShell, die Haupthintertür. Obwohl der Prozess übermäßig komplex klingen mag, funktioniert er als Anti-Sandbox-Mechanismus, erklärten die Forscher, da die Hintertür in einer Debugging-Umgebung nicht ausgeführt wird.

Die Hauptaufgabe der Malware besteht darin, Dateien hochzuladen, herunterzuladen und auszuführen. Es kann unter anderem Shells für den Datenaustausch im Intranet erstellen oder die Sleep-Konfiguration ändern. Die Malware hat in letzter Zeit ein paar neue Funktionen bekommen, sagen die Forscher, was darauf hindeutet, dass Mustang Panda hart daran arbeitet, sein Toolkit zu verbessern und von Tag zu Tag gefährlicher wird.