- Mustang Panda werkt de CoolClient-achterdeur bij met een nieuwe rootkit en uitgebreide functionaliteit
- Nieuwe functies zijn onder meer klembordmonitoring, snuiven van proxy-referenties en een verbeterd plug-in-ecosysteem
- Bijgewerkte malware die wordt gebruikt tegen regeringen in Azië en Rusland voor spionage en gegevensdiefstal
De Chinese door de staat gesponsorde hackers Mustang Panda hebben een van hun achterdeuren bijgewerkt met nieuwe functies, waardoor deze mogelijk nog gevaarlijker dan ooit is geworden.
Beveiligingsonderzoekers bij Kaspersky We hebben onlangs de achterdeur opgemerkt, CoolClient genaamd, die werd gebruikt bij een aanval waarbij een geheel nieuwe rootkit werd geïmplementeerd.
Mustang Panda is een bekende bedreigingsacteur, wiens activiteiten perfect aansluiten bij de nationale belangen van China: cyberspionage, gegevensdiefstal en permanente toegang. Het heeft een groot arsenaal aan aangepaste tools, waaronder backdoors, RAT’s, rootkits en meer, waaronder CoolClient, een backdoor die voor het eerst werd gezien in 2022 en meestal wordt ingezet als secundaire backdoor, samen met PlugX en LuminousMoth.
Vastleggen van klembord en snuiven van HTTP-proxyreferenties
Hoewel de oude variant al gevaarlijk was, heeft Mustang Panda besloten om hem te vernieuwen, zei Kaspersky.
Oorspronkelijk was CoolClient in staat om systeem- en gebruikersgegevens te profileren en te verzamelen en toetsaanslagen vast te leggen. Het stelde Mustang Panda in staat bestanden te laden en te verwijderen, TCP-tunneling en reverse-prosy-luisteren uit te voeren, en ook in het geheugen uit te voeren. Het bevatte verschillende persistentiemechanismen, UAC-bypass en DLL-sideloading.
Het kan nu uw klembord monitoren en gekopieerde inhoud vastleggen (bijvoorbeeld wachtwoorden verzameld door wachtwoordbeheerders of cryptocurrency-portemonnee-informatie die elders is opgeslagen) en het snuffelen van HTTP-proxyreferenties mogelijk maken. Het beschikt ook over een uitgebreid plug-in-ecosysteem, inclusief een externe shell-plug-in voor het uitvoeren van interactieve opdrachten, een plug-in voor servicesbeheer en een meer capabele plug-in voor bestandsbeheer.
Bovendien maakt het diefstal van inloggegevens via infostealer mogelijk, evenals het gebruik van legitieme clouddiensten voor stille exfiltratie van gestolen gegevens.
Kaspersky beweerde de bijgewerkte versie van de malware gebruikt bij aanvallen op overheidsinstanties in Myanmar, Mongolië, Maleisië en Pakistan. Het is ook aangetroffen op apparaten van de Russische regering, maar dit hoeft geen verrassing te zijn, aangezien China is gezien voordat het probeerde zijn bondgenoten en partners te bespioneren.
De beste antivirus voor elk budget
Volg TechRadar op Google Nieuws EN voeg ons toe als uw favoriete bron om nieuws, recensies en meningen van onze experts in uw feeds te krijgen. Klik dan zeker op de knop Volgen!
En jij kunt dat natuurlijk ook Volg TechRadar op TikTok voor nieuws, recensies, unboxing in videoformaat en ontvang regelmatig updates van ons WhatsApp ook.
