Mustang Panda el malspam que no para

Mustang Panda o también conocido como Earth Preta, sigue su actividad dirigida a varias organizaciones, incluidos gobiernos, así como institutos académicos y de investigación. La campaña estuvo encabezada por correos electrónicos con una URL que redirigía a unos archivos maliciosos que se encontraban almacenados en Google Drive. En ese almacén podías encontrar tres binarios maliciosos con los nombres de TONEINS, TONSHELL y PUBLOAD

Analizando binarios

TONEINS es el principal backdoor utilizado en esta campaña. Está diseñado para emplear la ofuscación e iniciar TONSHELL, ya que es el instalador de dicho binario.

TONSHELL se carga directamente en la memoria, siendo así un backdoor autónomo, trabaja con ofuscación del flujo de código mediante la implementación de manejadores de excepción personalizados. Una vez se ha conectado al Comand and Control (C2), envía un paquete con los datos adquiridos de la víctima y se queda a la espera.

PUBLOAD es el binario de persistencia creando claves de registro y tareas programadas, descifra el shellcode e inicia las comunicaciones de C2.

Indicadores de Compromiso

IP

103[.]75[.]190[.]224

89[.]38[.]225[.]151

103[.]15[.]29[.]179

202[.]53[.]148[.]24

103[.]15[.]28[.]208

202[.]58[.]105[.]38

98[.]142[.]251[.]29

202[.]53[.]148[.]26

Para evitarlo

Concienciar de los correos malicioso, spam o phishing a los usuarios finales. Si no se espera un correo o si no se está seguro mejor no abrir o avisar un especialista para que lo analice.

Mantener todos los sistemas antispam/antimalware actualizados.

Tener los equipos actualizados.

Tener deshabilitado Powershell en todos aquellos equipos que no sea necesario que el usuario tenga interacción.