Mustang Panda

OrigemChina

Técnicas (MITRE ATT&CK)85

FonteMITRE ATT&CK

Também conhecido como:TA416RedDeltaBRONZE PRESIDENTSTATELY TAURUSFIREANTCAMARO DRAGONEARTH PRETAHIVE0154TWILL TYPHOONTANTALUMLUMINOUS MOTHUNC6384TEMP.HexRed LichClumsyToad

Análise Vexday

Mustang Panda é um agente de espionagem cibernética de origem chinesa com operações documentadas desde pelo menos 2012, identificado no MITRE ATT&CK como G0129. O grupo é conhecido pelo uso de iscas de phishing direcionadas e documentos-isca para entrega de cargas maliciosas, tendo como alvos organizações governamentais, diplomáticas e não governamentais — incluindo think tanks, instituições religiosas e entidades de pesquisa — nos Estados Unidos, Europa e Ásia, com atividade notável na Rússia, Mongólia, Myanmar, Paquistão e Vietnã. Rastreado também pelos aliases TA416, RedDelta, BRONZE PRESIDENT, STATELY TAURUS, FIREANT e CAMARO DRAGON, o grupo acumula 85 técnicas documentadas no MITRE ATT&CK e tem uma CVE atribuída ao seu arsenal.

Técnicas (MITRE ATT&CK) 85

Como o grupo opera, mapeado pela matriz MITRE ATT&CK e organizado pelas fases de um ataque.

Reconhecimento

Search Open Websites/Domains Spearphishing Link

Preparação de recursos

Domains Web Services Email Accounts Email Accounts Malware Tool Code Signing Certificates Digital Certificates Stage Capabilities Upload Malware

Acesso inicial

Spearphishing Attachment Spearphishing Link

Execução

Windows Management Instrumentation Scheduled Task Command and Scripting Interpreter PowerShell Windows Command Shell Visual Basic JavaScript Software Deployment Tools Native API Shared Modules Exploitation for Client Execution Malicious Link Malicious File

Persistência

IDE Extensions Web Shell Registry Run Keys / Startup Folder

Escalada de privilégio

Windows Management Instrumentation Event Subscription

Acesso a credenciais

OS Credential Dumping LSASS Memory NTDS DCSync Adversary-in-the-Middle

Descoberta

System Network Configuration Discovery Remote System Discovery Network Service Discovery System Network Connections Discovery Process Discovery Domain Groups System Information Discovery File and Directory Discovery Domain Account Software Discovery Log Enumeration

Movimento lateral

Replication Through Removable Media

Coleta

Local Data Staging Automated Collection Archive via Utility Archive via Custom Method

Comando e controle

Protocol or Service Impersonation Web Protocols Non-Application Layer Protocol Web Service Ingress Tool Transfer IDE Tunneling Remote Desktop Software Protocol Tunneling Symmetric Cryptography

Exfiltração

Exfiltration Over C2 Channel Exfiltration Over Unencrypted Non-C2 Protocol Exfiltration over USB Exfiltration to Cloud Storage

defense-impairment

Code Signing

stealth

Obfuscated Files or Information Dynamic API Resolution LNK Icon Smuggling Junk Code Insertion Match Legitimate Resource Name or Location Double File Extension Masquerade File Type Indicator Removal File Deletion Timestomp Deobfuscate/Decode Files or Information Traffic Signaling InstallUtil Mshta Hidden Files and Directories DLL Executable Installer File Permissions Weakness Debugger Evasion Delay Execution

Vulnerabilidades exploradas 1

CVEs que este grupo é conhecido por explorar, segundo o MITRE ATT&CK. Ordenadas por gravidade real.

CVE-2017-0199HIGHEPSS 100%KEV

O grupo Mustang Panda usa técnicas e explora falhas reais. O Pentest Autônomo com IA da TrueHacking simula esses ataques na sua infraestrutura e traz mais segurança para sua aplicação.

Conhecer o Pentest Autônomo com IA →