⚡ Não perca: notícia importante no ar! ⚡
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O grupo de espionagem Mustang Panda, alinhado à China, está realizando duas campanhas contra o governo indiano e alvos hidrelétricos, implantando novos malwares e transformando um serviço de nuvem legítimo em seu canal de comando.
A Unidade de Pesquisa de Ameaças da Acronis encontrou comprometimentos ativos dentro das redes do governo indiano, incluindo máquinas usadas pela equipe administrativa sênior, e trabalhou com o CERT-In na notificação e na limpeza.
O malware abusa do Zoho WorkDrive, uma plataforma de armazenamento em nuvem comum no setor governamental da Índia, para transmitir comandos e exfiltrar dados. Essa é a ideia: o tráfego parece uma atividade comum na nuvem, então ele se esconde dentro da rede da qual está roubando.
Acronis nomeia três novas ferramentas.
SHARDLOADER é um carregador executado fazendo o sideload de uma DLL maliciosa por meio de um binário legitimamente assinado, um executável Solid PDF Creator em uma campanha e um binário Citrix Receiver na outra. Ele implanta um dos dois implantes.
MINIRECON é uma variante reformulada do backdoor Toneshell documentado pelo IBM X-Force, agora sinalizando por meio de uma conexão WebSocket em HTTPS.
ZOHOMURK é a novidade: ele carrega credenciais Zoho OAuth codificadas e as usa para executar uma conta WorkDrive controlada pelo invasor como um depósito morto, lendo comandos de uma pasta de caixa de entrada e gravando resultados roubados em uma caixa de saída.
Ambas as campanhas chegam como arquivos ZIP com a DLL maliciosa marcada como oculta. A Acronis acredita que eles foram entregues por meio de spear-phishing. As iscas ajustam-se aos objectivos: uma tem como tema uma proposta de cooperação hidroeléctrica, a outra em torno de um memorando de entendimento entre instituições indianas e taiwanesas.
Segundo a Acronis, o objetivo é obter informações sobre os planos hidrelétricos da Índia e seus laços de defesa com Taiwan. A Acronis atribui a atividade ao Mustang Panda com grande confiança.
O relatório inclui a cadeia de sideload reutilizada do Solid PDF Creator, sobreposição de código com Toneshell, servidores de comando localizados no mesmo bloco de rede que a infraestrutura IBM X-Force vinculada ao grupo e um erro de digitação recorrente, RunOnece, realizado em vários implantes.
A segurança operacional era escassa. Tokens codificados, identificadores de texto simples e infraestrutura reutilizada ajudaram os analistas a identificá-lo. O beacon ativo ocorreu de 12 a 22 de junho de 2026.
Isto dá continuidade a um impulso constante contra os alvos indianos. Em abril, a Acronis vinculou o backdoor LOTUSLITE do grupo a ataques ao setor bancário da Índia e aos círculos políticos sul-coreanos, também realizados por meio de um serviço de nuvem legítimo. O interesse mais amplo ligado à China no setor de energia da Índia é mais antigo: a campanha RedEcho de 2021 direcionou a rede elétrica do país com o ShadowPad.
Não há patch para aplicar. A defesa está pegando a entrega e o abuso da nuvem. A Acronis publicou indicadores e dicas de busca, incluindo as chaves Run de persistência, uma tarefa agendada chamada SolidPDFPcl2Bmp, o domínio C2 couldinstallup[.]com e os agentes de usuário Zoho que aparecem em processos que não são de navegador.
As organizações governamentais e de energia, especialmente aquelas ligadas a acordos transfronteiriços que possam interessar a Pequim, devem estar atentas às atracções geopolíticas e à transferência de binários assinados. E sinalize qualquer processo de endpoint que chame APIs de nuvem que não tenha motivo para tocar.
A Unidade de Pesquisa de Ameaças da Acronis encontrou comprometimentos ativos dentro das redes do governo indiano, incluindo máquinas usadas pela equipe administrativa sênior, e trabalhou com o CERT-In na notificação e na limpeza.
O malware abusa do Zoho WorkDrive, uma plataforma de armazenamento em nuvem comum no setor governamental da Índia, para transmitir comandos e exfiltrar dados. Essa é a ideia: o tráfego parece uma atividade comum na nuvem, então ele se esconde dentro da rede da qual está roubando.
Acronis nomeia três novas ferramentas.
SHARDLOADER é um carregador executado fazendo o sideload de uma DLL maliciosa por meio de um binário legitimamente assinado, um executável Solid PDF Creator em uma campanha e um binário Citrix Receiver na outra. Ele implanta um dos dois implantes.
MINIRECON é uma variante reformulada do backdoor Toneshell documentado pelo IBM X-Force, agora sinalizando por meio de uma conexão WebSocket em HTTPS.
ZOHOMURK é a novidade: ele carrega credenciais Zoho OAuth codificadas e as usa para executar uma conta WorkDrive controlada pelo invasor como um depósito morto, lendo comandos de uma pasta de caixa de entrada e gravando resultados roubados em uma caixa de saída.
Ambas as campanhas chegam como arquivos ZIP com a DLL maliciosa marcada como oculta. A Acronis acredita que eles foram entregues por meio de spear-phishing. As iscas ajustam-se aos objectivos: uma tem como tema uma proposta de cooperação hidroeléctrica, a outra em torno de um memorando de entendimento entre instituições indianas e taiwanesas.
Segundo a Acronis, o objetivo é obter informações sobre os planos hidrelétricos da Índia e seus laços de defesa com Taiwan. A Acronis atribui a atividade ao Mustang Panda com grande confiança.
O relatório inclui a cadeia de sideload reutilizada do Solid PDF Creator, sobreposição de código com Toneshell, servidores de comando localizados no mesmo bloco de rede que a infraestrutura IBM X-Force vinculada ao grupo e um erro de digitação recorrente, RunOnece, realizado em vários implantes.
A segurança operacional era escassa. Tokens codificados, identificadores de texto simples e infraestrutura reutilizada ajudaram os analistas a identificá-lo. O beacon ativo ocorreu de 12 a 22 de junho de 2026.
Isto dá continuidade a um impulso constante contra os alvos indianos. Em abril, a Acronis vinculou o backdoor LOTUSLITE do grupo a ataques ao setor bancário da Índia e aos círculos políticos sul-coreanos, também realizados por meio de um serviço de nuvem legítimo. O interesse mais amplo ligado à China no setor de energia da Índia é mais antigo: a campanha RedEcho de 2021 direcionou a rede elétrica do país com o ShadowPad.
Não há patch para aplicar. A defesa está pegando a entrega e o abuso da nuvem. A Acronis publicou indicadores e dicas de busca, incluindo as chaves Run de persistência, uma tarefa agendada chamada SolidPDFPcl2Bmp, o domínio C2 couldinstallup[.]com e os agentes de usuário Zoho que aparecem em processos que não são de navegador.
As organizações governamentais e de energia, especialmente aquelas ligadas a acordos transfronteiriços que possam interessar a Pequim, devem estar atentas às atracções geopolíticas e à transferência de binários assinados. E sinalize qualquer processo de endpoint que chame APIs de nuvem que não tenha motivo para tocar.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #mustang #panda #usa #zoho #workdrive #como #canal #de #comando #em #ataques #do #governo #indiano
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário