- Mustang Panda meningkatkan pintu belakang CoolClient dengan rootkit baru dan kemampuan yang diperluas
- Fitur-fitur baru termasuk pemantauan clipboard, sniffing kredensial proxy, dan ekosistem plugin yang ditingkatkan
- Malware yang diperbarui digunakan terhadap pemerintah di Asia dan Rusia untuk spionase dan pencurian data
Peretas yang disponsori negara Tiongkok, Mustang Panda, telah meningkatkan salah satu pintu belakang mereka dengan kemampuan baru, yang berpotensi menjadikannya lebih berbahaya dari sebelumnya.
Peneliti keamanan di Kaspersky baru-baru ini melihat pintu belakang, yang disebut CoolClient, digunakan dalam serangan yang menyebarkan rootkit baru.
Mustang Panda dikenal sebagai aktor ancaman yang aktivitasnya sejalan dengan kepentingan nasional Tiongkok: spionase dunia maya, pencurian data, dan akses terus-menerus. Ia memiliki banyak alat khusus, termasuk pintu belakang, RAT, rootkit, dan banyak lagi – termasuk CoolClient, pintu belakang yang pertama kali terlihat pada tahun 2022 dan biasanya digunakan sebagai pintu belakang sekunder, bersama PlugX dan LuminousMoth.
Pengambilan clipboard dan sniffing kredensial proksi HTTP
Kini, meskipun varian lawasnya berbahaya, Mustang Panda memutuskan untuk melakukan facelift, kata Kaspersky.
Awalnya, CoolClient mampu membuat profil dan mengumpulkan detail sistem dan pengguna, serta merekam penekanan tombol. Ini memungkinkan Mustang panda untuk mengunggah dan menghapus file, menjalankan terowongan TCP dan mendengarkan prosy terbalik, serta eksekusi dalam memori. Ini menampilkan mekanisme persistensi yang berbeda, bypass UAC, dan sideload DLL.
Sekarang, ia dapat memonitor clipboard dan menangkap konten yang disalin (misalnya, kata sandi yang diambil dari pengelola kata sandi, atau informasi dompet mata uang kripto yang disimpan di tempat lain) dan memungkinkan sniffing kredensial proxy HTTP. Ia juga memiliki ekosistem plugin yang diperluas, termasuk plugin shell jarak jauh untuk eksekusi perintah interaktif, plugin manajemen layanan, dan plugin manajemen file yang lebih mumpuni.
Selain itu, hal ini memungkinkan pencurian kredensial melalui pencuri informasi, serta penggunaan layanan cloud yang sah untuk eksfiltrasi diam-diam atas data yang dicuri.
Kaspersky mengatakan pihaknya melihat versi terbaru dari perangkat lunak perusak digunakan dalam serangan terhadap entitas pemerintah di Myanmar, Mongolia, Malaysia, dan Pakistan. Hal ini juga ditemukan pada perangkat milik pemerintah Rusia, namun hal ini tidak mengherankan karena Tiongkok terlihat sebelum mencoba memata-matai sekutu dan mitranya.
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
