Se connecter
Inscription
Mot de passe perdu
ESET Research : alignée sur la Chine, la nouvelle porte dérobée de Mustang Panda, cible l'Europe, l'Asie et l'Australie
Publié le 03/03/2023 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
● ESET a analysé MQsTTang, une nouvelle porte dérobée personnalisée attribuée au groupe Mustang Panda APT, alignée sur la Chine.
● Les cibles confirmées sont en Bulgarie et en Australie, ainsi qu’une cible probable à Taïwan.
● D’après les noms de fichiers leurres utilisés, les chercheurs d'ESET pensent que des organisations politiques et gouvernementales en Europe et en Asie sont aussi ciblées.
● Le maliciel utilise le protocole MQTT pour la communication commande et contrôle. MQTT est utilisé pour la communication entre les appareils et les contrôleurs de l'Internet des objets (IoT). Ce protocole n'est pas utilisé dans beaucoup de familles de logiciels malveillants documentés.
● MQsTTang est distribué via les archives RAR qui ne contiennent qu'un seul exécutable. Ces exécutables ont généralement des noms liés à la diplomatie et à des passeports.
BRATISLAVA, MONTRÉAL - Le 3 mars 2023 — Les chercheurs d'ESET viennent d'analyser MQsTTang, une nouvelle porte dérobée personnalisée qu’ils attribuent au groupe Mustang Panda APT alignée sur la Chine. Cette porte dérobée fait partie d'une campagne en cours qu'ESET peut retracer jusqu'au début de janvier 2023. Dans sa télémétrie, ESET Research a vu des entités inconnues prises comme cibles en Bulgarie et en Australie. De plus, ESET dispose d'informations indiquant que Mustang Panda cible une institution gouvernementale à Taïwan.
Par la nature des noms de fichiers leurres utilisés, les chercheurs d'ESET pensent que des organisations politiques et gouvernementales d’Europe et d’Asie sont également ciblées. La campagne Mustang Panda est toujours en cours au moment où ces lignes sont écrites. Le groupe a augmenté son activité en Europe depuis l'invasion de l'Ukraine.
"Contrairement à la plupart des maliciels du groupe, MQsTTang ne semble pas basé sur des familles existantes ou des projets accessibles au public", déclare Alexandre Côté Cyr, chercheur chez ESET, qui a découvert cette campagne. «Cette nouvelle porte dérobée MQsTTang fournit une sorte de protection distante très discrète contrairement aux autres familles de maliciels du groupe. Cependant, cela montre que, pour ses outils, Mustang Panda explore de nouvelles sortes de technologies», explique-t-il. «Il faut voir si cette porte dérobée deviendra un élément récurrent de leur arsenal. C’est un exemple de plus du développement et du déploiement rapide du groupe », conclut Côté Cyr.
Sur base de sa télémétrie, ESET Research confirme que des entités inconnues en Bulgarie et en Australie sont ciblées ainsi qu’une institution gouvernementale à Taiwan. La victimologie n'est pas claire, mais les noms de fichiers leurres font croire à ESET que des organisations politiques et gouvernementales d’Europe et d’Asie sont également ciblées. Cela correspondrait également avec le ciblage des dernières campagnes du groupe.
MQsTTang est une porte dérobée nue qui permet à l'attaquant d'exécuter des commandes arbitraires sur la machine d'une victime et d’en capturer le résultat. Le maliciel utilise le protocole MQTT pour la communication commande & contrôle. MQTT est généralement utilisé pour la communication entre les appareils IoT et les contrôleurs. Ce protocole n'a pas été utilisé dans beaucoup de familles de maliciels documentés publiquement.
MQsTTang est distribué via des archives RAR qui ne contiennent qu'un seul exécutable. Ces exécutables ont généralement des noms de fichiers liés à la diplomatie et à des passeports.
Pour plus d'informations techniques sur MQsTTang, consultez le blog “MQsTTang: Mustang Panda’s latest backdoor treads new ground with Qt and MQTT” sur WeLiveSecurity. Suivez aussi ESET Research sur Twitter - ESET Research on Twitter - pour les dernières nouvelles d'ESET Research.
A propos d’ESET Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/
● Les cibles confirmées sont en Bulgarie et en Australie, ainsi qu’une cible probable à Taïwan.
● D’après les noms de fichiers leurres utilisés, les chercheurs d'ESET pensent que des organisations politiques et gouvernementales en Europe et en Asie sont aussi ciblées.
● Le maliciel utilise le protocole MQTT pour la communication commande et contrôle. MQTT est utilisé pour la communication entre les appareils et les contrôleurs de l'Internet des objets (IoT). Ce protocole n'est pas utilisé dans beaucoup de familles de logiciels malveillants documentés.
● MQsTTang est distribué via les archives RAR qui ne contiennent qu'un seul exécutable. Ces exécutables ont généralement des noms liés à la diplomatie et à des passeports.
BRATISLAVA, MONTRÉAL - Le 3 mars 2023 — Les chercheurs d'ESET viennent d'analyser MQsTTang, une nouvelle porte dérobée personnalisée qu’ils attribuent au groupe Mustang Panda APT alignée sur la Chine. Cette porte dérobée fait partie d'une campagne en cours qu'ESET peut retracer jusqu'au début de janvier 2023. Dans sa télémétrie, ESET Research a vu des entités inconnues prises comme cibles en Bulgarie et en Australie. De plus, ESET dispose d'informations indiquant que Mustang Panda cible une institution gouvernementale à Taïwan.
Par la nature des noms de fichiers leurres utilisés, les chercheurs d'ESET pensent que des organisations politiques et gouvernementales d’Europe et d’Asie sont également ciblées. La campagne Mustang Panda est toujours en cours au moment où ces lignes sont écrites. Le groupe a augmenté son activité en Europe depuis l'invasion de l'Ukraine.
"Contrairement à la plupart des maliciels du groupe, MQsTTang ne semble pas basé sur des familles existantes ou des projets accessibles au public", déclare Alexandre Côté Cyr, chercheur chez ESET, qui a découvert cette campagne. «Cette nouvelle porte dérobée MQsTTang fournit une sorte de protection distante très discrète contrairement aux autres familles de maliciels du groupe. Cependant, cela montre que, pour ses outils, Mustang Panda explore de nouvelles sortes de technologies», explique-t-il. «Il faut voir si cette porte dérobée deviendra un élément récurrent de leur arsenal. C’est un exemple de plus du développement et du déploiement rapide du groupe », conclut Côté Cyr.
Sur base de sa télémétrie, ESET Research confirme que des entités inconnues en Bulgarie et en Australie sont ciblées ainsi qu’une institution gouvernementale à Taiwan. La victimologie n'est pas claire, mais les noms de fichiers leurres font croire à ESET que des organisations politiques et gouvernementales d’Europe et d’Asie sont également ciblées. Cela correspondrait également avec le ciblage des dernières campagnes du groupe.
MQsTTang est une porte dérobée nue qui permet à l'attaquant d'exécuter des commandes arbitraires sur la machine d'une victime et d’en capturer le résultat. Le maliciel utilise le protocole MQTT pour la communication commande & contrôle. MQTT est généralement utilisé pour la communication entre les appareils IoT et les contrôleurs. Ce protocole n'a pas été utilisé dans beaucoup de familles de maliciels documentés publiquement.
MQsTTang est distribué via des archives RAR qui ne contiennent qu'un seul exécutable. Ces exécutables ont généralement des noms de fichiers liés à la diplomatie et à des passeports.
Pour plus d'informations techniques sur MQsTTang, consultez le blog “MQsTTang: Mustang Panda’s latest backdoor treads new ground with Qt and MQTT” sur WeLiveSecurity. Suivez aussi ESET Research sur Twitter - ESET Research on Twitter - pour les dernières nouvelles d'ESET Research.
A propos d’ESET Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/
Liens associés
16/04/2024 @ 09:33:08
Poster un commentaire
Jeux Vidéos
Microsoft
Navigateurs
Google
