Código HTML do Conteúdo
Post: Mustang Panda adota um novo método de carregamento lateral da DLL para implantar malware - Against Invaders - Notícias de CyberSecurity para humanos.
<div>
<div>
<p>A sofisticada ameaça ligada à China Actormustang Pandahas refinou seu arsenal de espionagem cibernética com uma técnica avançada de carregamento lateral da DLL direcionada especificamente à comunidade tibetana, de acordo com a recente análise de uma campanha identificada pela primeira vez pelo X-Force da IBM em junho de 2025.</p>
<p>Esta operação politicamente motivada demonstra como os atores de ameaças evoluem continuamente seus métodos de ofuscação para ignorar os controles de segurança e manter a persistência em sistemas comprometidos.</p>
<p>O vetor de ataque começa com um cuidadosamente trabalhado.</p>
<p>O SingleLoader descriptografa e executa um comando criando uma tarefa programada chamada “Adobeexperiencemanager” que é executada a cada dois minutos:</p>
<pre>text<code>schtasks /F /Create /TN "AdobeExperienceManager" /SC minute /MO 2 /TR "C:ProgramDataAdobeLicensingPluginWF_Adobe_licensing_helper.exe Licensing"
</code></pre>
<p>Essa abordagem de persistência redundante complica os esforços de resposta a incidentes e aumenta a probabilidade de manter o acesso, mesmo que um mecanismo de persistência seja descoberto e removido.</p>
<p>Quando executado com o argumento correto, a reivindicação transita para sua fase de implantação de carga útil primária. O malware aloca a memória executável usando virtualAllocwithpage_execute_readWritePermissions e copia o código de shell descriptografado para este buffer.</p>
<p>Em vez de executar diretamente o código shell, o malware abusa do<strong></strong>Enumfontswapi Mecanismo de retorno de chamada passando o endereço do código shell como o ponteiro da função de retorno de chamada – uma técnica que evita muitas soluções de monitoramento de segurança.</p>
<p>O shellcode implantado, identificado AspublOader, implementa o hash da API usando o algoritmo ROR13 para resolver dinamicamente as APIs do Windows necessárias.</p>
<p>Este componente executa o Bloco de Ambiente de Processo (PEB) caminhando para localizar e carregar os módulos necessários, estabelecendo a comunicação com a infraestrutura de comando e controle para exfiltrar as informações do sistema.</p>
<p>A campanha demonstra a evolução contínua de Mustang Panda na segmentação de metodologias, combinando elementos de engenharia social específicos para interesses tibetanos com técnicas avançadas de ofuscação técnica.</p>
<p>As equipes de segurança devem implementar o monitoramento abrangente para padrões incomuns de carregamento de DLL, criação de tarefas programadas e modificações suspeitas de registro para detectar campanhas semelhantes de maneira eficaz.</p>
<p><strong>Siga -nos<a href="https://news.google.com/publications/CAAqKAgKIiJDQklTRXdnTWFnOEtEV2RpYUdGamEyVnljeTVqYjIwb0FBUAE?hl=en-IN&gl=IN&ceid=IN%3Aen" rel="noreferrer noopener" target="_blank">Google News</a>Assim,<a href="https://www.linkedin.com/company/cyber-threat-intel/" rel="noreferrer noopener" target="_blank">LinkedIn</a>e<a href="https://x.com/The_Cyber_News" rel="noreferrer noopener" target="_blank">X</a>Para obter atualizações instantâneas e definir GBH como uma fonte preferida em<a href="https://www.google.com/preferences/source?q=https://gbhackers.com/" rel="noreferrer noopener" target="_blank">Google</a>.</strong></p>
</div></div>