- Mustang Panda, CoolClient arka kapısını yeni rootkit ve genişletilmiş özelliklerle yükseltiyor
- Yeni özellikler arasında pano izleme, proxy kimlik bilgileri taraması ve gelişmiş eklenti ekosistemi yer alıyor
- Asya ve Rusya’daki hükümetlere karşı casusluk ve veri hırsızlığı amacıyla kullanılan güncellenmiş kötü amaçlı yazılım
Çin devleti destekli bilgisayar korsanları Mustang Panda, arka kapılarından birini yeni yeteneklerle yükseltti ve potansiyel olarak onu her zamankinden daha tehlikeli hale getirdi.
Güvenlik araştırmacıları Kaspersky yakın zamanda CoolClient adı verilen arka kapının yepyeni bir rootkit kullanan bir saldırıda kullanıldığını fark etti.
Mustang Panda, faaliyetleri Çin’in ulusal çıkarlarıyla mükemmel bir şekilde örtüşen bilinen bir tehdit aktörüdür: siber casusluk, veri hırsızlığı ve sürekli erişim. Arka kapılar, RAT’lar, rootkit’ler ve daha fazlasını içeren geniş bir özel araç cephaneliğine sahiptir; ilk kez 2022’de görülen ve PlugX ve LuminousMoth ile birlikte genellikle ikincil bir arka kapı olarak dağıtılan bir arka kapı olan CoolClient dahil.
Pano yakalama ve HTTP proxy kimlik bilgileri koklama
Kaspersky, eski versiyon her ne kadar tehlikeli olsa da Mustang Panda’nın artık onu yenilemeye karar verdiğini söyledi.
Başlangıçta CoolClient, sistem ve kullanıcı ayrıntılarının profilini çıkarıp toplayabiliyor ve tuş vuruşlarını kaydedebiliyordu. Mustang panda’nın dosyaları yüklemesine ve silmesine, TCP tünellemeyi çalıştırmasına ve ters prosi dinlemenin yanı sıra bellek içi yürütmeye de olanak sağladı. Farklı kalıcılık mekanizmaları, UAC atlamaları ve DLL yan yüklemesi içeriyordu.
Artık panoyu izleyebilir ve kopyalanan içerikleri (örneğin, şifre yöneticilerinden alınan şifreler veya başka bir yerde saklanan kripto para cüzdanı bilgileri) yakalayabilir ve HTTP proxy kimlik bilgilerinin dinlenmesini etkinleştirebilir. Ayrıca etkileşimli komut yürütme için bir uzak kabuk eklentisi, bir hizmet yönetimi eklentisi ve daha yetenekli bir dosya yönetimi eklentisi de dahil olmak üzere genişletilmiş bir eklenti ekosistemine sahiptir.
Ayrıca, bilgi hırsızları aracılığıyla kimlik bilgisi hırsızlığına ve çalınan verilerin sessizce sızdırılması için meşru bulut hizmetlerinin kullanılmasına olanak tanır.
Kaspersky, uygulamanın güncellenmiş sürümünü gördüğünü söyledi. kötü amaçlı yazılım Myanmar, Moğolistan, Malezya ve Pakistan’daki devlet kurumlarına yönelik saldırılarda kullanıldı. Aynı zamanda Rus hükümetine ait cihazlarda da bulundu, ancak Çin’in müttefikleri ve ortakları hakkında casusluk yapmaya çalışmadan önce görülmesi nedeniyle bu sürpriz olmamalı.
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.