همه چیز از آنجا شروع شد که کارمندی که در یک کنفرانس آسیایی شرکت میکرد، با به اشتراک گذاشتن ارائهای با یک همکار با استفاده از درایو USB آسیبدیده، بدافزار را به سازمان خود در اروپا ناآگاهانه معرفی کرد.
بر اساس گزارشی که توسط Check Point Research (CPR) منتشر شده است، افزایش اخیر نسخههای جدید بدافزار جاسوسی چینی نگرانیهایی را ایجاد کرده است زیرا به سرعت از طریق درایوهای USB آلوده منتشر میشوند.
این کمپین بدافزار طی تحقیقاتی در مورد حمله به یک مؤسسه مراقبتهای بهداشتی در اروپا کشف شد و فعالیتهای بازیگر تهدید چینی معروف به موستانگ پاندا، همچنین به نامهای TA416، Red Lich، Earth Preta، HoneyMyte و Bronze President را روشن کرد. Camaro Dragon و LuminousMoth.
شایان ذکر است که در اوایل ماه مارس سال جاری، موستانگ پاندا با استفاده از درپشتی جدید MQsTTang علیه سازمانهای دولتی و سیاسی در سراسر آسیا و اروپا مشاهده شد.
در حالی که موستانگ پاندا از لحاظ تاریخی بر کشورهای آسیای جنوب شرقی متمرکز بوده است، این حادثه دامنه گسترده جهانی آنها را آشکار کرده است. این حمله ابتدا از طریق یک درایو USB آلوده به سیستم های موسسه دسترسی پیدا کرد.
یکی از کارمندان که در کنفرانسی در آسیا شرکت کرده بود، ناخودآگاه یک ارائه را با همکار خود با استفاده از درایو USB آسیبدیده به اشتراک گذاشت، بنابراین بدافزار را پس از بازگشت به اروپا وارد سازمان کرد.
همانطور که در پست وبلاگ CPR بیان شد، این بدافزار توسط بخشی از مجموعه ابزار "SSE" که قبلاً توسط Avast گزارش شده بود، از یک راهانداز مخرب دلفی ذخیره شده در درایو فلش USB آلوده استفاده میکند. پس از اجرا، یک در پشتی اصلی ایجاد می کند و عفونت را به درایوهای متصل دیگر منتقل می کند.
یکی از انواع قوی این بدافزار، به نام WispRider، از لانچر HopperTick برای انتشار از طریق درایوهای USB استفاده می کند. قابل ذکر است، این شامل یک مکانیسم بای پس است که به طور خاص برای فرار از SmadAV، یک نرم افزار آنتی ویروس محبوب در جنوب شرقی آسیا طراحی شده است.
این بدافزار برای افزایش قابلیتهای فرار خود، از تکنیکهای بارگذاری جانبی DLL، بهرهبرداری از اجزای نرمافزار امنیتی و شرکتهای بازیسازی برجسته استفاده میکند. این رویکرد چند جانبه، بدافزار را قادر میسازد تا درهای پشتی را روی ماشینهای در معرض خطر ایجاد کند، در حالی که همزمان درایوهای جداشدنی تازه متصل شده را آلوده میکند، به طور بالقوه به سیستمهای ایزوله نفوذ میکند و به طیف گستردهای از نهادها فراتر از اهداف اولیه دسترسی میدهد.
توصیه CPR بهعنوان یک هشدار بهموقع پس از شناسایی اخیر شرکت از یک حامل حمله جداگانه منتسب به موستانگ پاندا است. فعالیتهای مداوم این بازیگر تهدید چینی، نیاز حیاتی سازمانها را به هوشیاری در برابر تهدیدات سایبری در حال تحول و حفظ اقدامات امنیتی قوی، بهویژه هنگام کار با دستگاههای ذخیرهسازی خارجی مانند درایوهای USB، برجسته میکند.
بر اساس گزارشی که توسط Check Point Research (CPR) منتشر شده است، افزایش اخیر نسخههای جدید بدافزار جاسوسی چینی نگرانیهایی را ایجاد کرده است زیرا به سرعت از طریق درایوهای USB آلوده منتشر میشوند.
این کمپین بدافزار طی تحقیقاتی در مورد حمله به یک مؤسسه مراقبتهای بهداشتی در اروپا کشف شد و فعالیتهای بازیگر تهدید چینی معروف به موستانگ پاندا، همچنین به نامهای TA416، Red Lich، Earth Preta، HoneyMyte و Bronze President را روشن کرد. Camaro Dragon و LuminousMoth.
شایان ذکر است که در اوایل ماه مارس سال جاری، موستانگ پاندا با استفاده از درپشتی جدید MQsTTang علیه سازمانهای دولتی و سیاسی در سراسر آسیا و اروپا مشاهده شد.
در حالی که موستانگ پاندا از لحاظ تاریخی بر کشورهای آسیای جنوب شرقی متمرکز بوده است، این حادثه دامنه گسترده جهانی آنها را آشکار کرده است. این حمله ابتدا از طریق یک درایو USB آلوده به سیستم های موسسه دسترسی پیدا کرد.
یکی از کارمندان که در کنفرانسی در آسیا شرکت کرده بود، ناخودآگاه یک ارائه را با همکار خود با استفاده از درایو USB آسیبدیده به اشتراک گذاشت، بنابراین بدافزار را پس از بازگشت به اروپا وارد سازمان کرد.
همانطور که در پست وبلاگ CPR بیان شد، این بدافزار توسط بخشی از مجموعه ابزار "SSE" که قبلاً توسط Avast گزارش شده بود، از یک راهانداز مخرب دلفی ذخیره شده در درایو فلش USB آلوده استفاده میکند. پس از اجرا، یک در پشتی اصلی ایجاد می کند و عفونت را به درایوهای متصل دیگر منتقل می کند.
یکی از انواع قوی این بدافزار، به نام WispRider، از لانچر HopperTick برای انتشار از طریق درایوهای USB استفاده می کند. قابل ذکر است، این شامل یک مکانیسم بای پس است که به طور خاص برای فرار از SmadAV، یک نرم افزار آنتی ویروس محبوب در جنوب شرقی آسیا طراحی شده است.
این بدافزار برای افزایش قابلیتهای فرار خود، از تکنیکهای بارگذاری جانبی DLL، بهرهبرداری از اجزای نرمافزار امنیتی و شرکتهای بازیسازی برجسته استفاده میکند. این رویکرد چند جانبه، بدافزار را قادر میسازد تا درهای پشتی را روی ماشینهای در معرض خطر ایجاد کند، در حالی که همزمان درایوهای جداشدنی تازه متصل شده را آلوده میکند، به طور بالقوه به سیستمهای ایزوله نفوذ میکند و به طیف گستردهای از نهادها فراتر از اهداف اولیه دسترسی میدهد.
توصیه CPR بهعنوان یک هشدار بهموقع پس از شناسایی اخیر شرکت از یک حامل حمله جداگانه منتسب به موستانگ پاندا است. فعالیتهای مداوم این بازیگر تهدید چینی، نیاز حیاتی سازمانها را به هوشیاری در برابر تهدیدات سایبری در حال تحول و حفظ اقدامات امنیتی قوی، بهویژه هنگام کار با دستگاههای ذخیرهسازی خارجی مانند درایوهای USB، برجسته میکند.