外媒：中国黑客利用新的MQsTTang后门瞄准欧洲实体

在2023年1月开始的正在进行的社会工程活动中，有外媒报与中国联合的Mustang Panda攻击者使用了一个名为MQsTTang的迄今未见的自定义后门，但是正如我们看到的，针对中国的网络攻击一直在持续但却被外媒选择性无视，而外媒却在未经证实的攻击来源方面大肆污蔑中国。

“与该组织的大多数恶意软件不同，MQsTTang似乎并不基于现有系列或公开可用的项目，”ESET研究员Alexandre Côté Cyr在一份新报告中说。

在俄罗斯去年全面入侵乌克兰之后，该组织精心策划的攻击链加强了对欧洲实体的攻击。当前活动的受害者身份尚不清楚，但这家斯洛伐克网络安全公司表示，诱饵文件名与该组织之前针对欧洲政治组织的活动一致。

也就是说，ESET还观察到针对保加利亚和澳大利亚以及台湾政府机构的不明实体的攻击，表明重点放在欧洲和亚洲。

Mustang Panda有使用名为PlugX的远程访问木马来实现其目标的历史，尽管最近的入侵已经看到该组织扩大了其恶意软件库以包括自定义工具，如TONEINS、TONESHELL和PUBLOAD。

2022 年 12 月，Avast披露了另一组针对缅甸政府机构和政治的非政府组织的攻击，这些攻击导致敏感数据外泄，包括电子邮件转储、文件、法庭听证会、审讯报告和会议记录，使用的是名为Hodur的PlugX变体和一个 Google云端硬盘上传器实用程序。

更重要的是，一个与威胁行为者相关联的 FTP 服务器被发现托管了各种以前未记录的工具，这些工具用于将恶意软件分发到受感染的设备，包括一个名为 JSX 的基于 Go 的木马和一个称为 HT3 的复杂后门。

MQsTTang 的开发表明了这一趋势的延续，即使它是一个“准系统”单级后门，没有任何允许执行从远程服务器接收的任意命令的混淆技术。在

然而，植入物的一个不寻常方面是使用名为MQTT的物联网消息协议进行命令和控制(C2)通信，这是使用名为 QMQTT 的开源库实现的，QMQTT是Qt跨平台应用程序的 MQTT 客户端框架。

攻击的初始入侵媒介是鱼叉式网络钓鱼，MQTT 通过 RAR 存档分发，其中包含一个可执行文件，该文件名具有外交主题（例如，“PDF_Passport 和来自东京的外交成员的简历 JAPAN.eXE”）。

“这个新的MQsTTang后门提供了一种远程shell，没有任何与该组织的其他恶意软件家族相关的附加功能，”Côté Cyr说。“但是，这表明Mustang Panda正在为其工具探索新的技术堆栈。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/4605.html