Título: Mustang Panda adota um novo método de carregamento lateral da DLL para implantar malware - Against Invaders - Notícias de CyberSecurity para humanos.
Data: 2025-10-07 06:17:35
Autor: Inteligência Against Invaders
URL: https://datalake.azaeo.com/news-againstinvaders-com/07dd3cac6e2b9d2afc210bb6db0142d1/mustang-panda-adota-um-novo-metodo-de-carregamento-lateral-da-dll-para-implantar-malware-against-invaders-noticias-de-cybersecurity-para-humanos/2039/

A sofisticada amea&ccedil;a ligada &agrave; China Actormustang Pandahas refinou seu arsenal de espionagem cibern&eacute;tica com uma t&eacute;cnica avan&ccedil;ada de carregamento lateral da DLL direcionada especificamente &agrave; comunidade tibetana, de acordo com a recente an&aacute;lise de uma campanha identificada pela primeira vez pelo X-Force da IBM em junho de 2025.
Esta opera&ccedil;&atilde;o politicamente motivada demonstra como os atores de amea&ccedil;as evoluem continuamente seus m&eacute;todos de ofusca&ccedil;&atilde;o para ignorar os controles de seguran&ccedil;a e manter a persist&ecirc;ncia em sistemas comprometidos.
O vetor de ataque come&ccedil;a com um cuidadosamente trabalhado.
O SingleLoader descriptografa e executa um comando criando uma tarefa programada chamada &ldquo;Adobeexperiencemanager&rdquo; que &eacute; executada a cada dois minutos:
textschtasks /F /Create /TN "AdobeExperienceManager" /SC minute /MO 2 /TR "C:ProgramDataAdobeLicensingPluginWF_Adobe_licensing_helper.exe Licensing"

Essa abordagem de persist&ecirc;ncia redundante complica os esfor&ccedil;os de resposta a incidentes e aumenta a probabilidade de manter o acesso, mesmo que um mecanismo de persist&ecirc;ncia seja descoberto e removido.
Quando executado com o argumento correto, a reivindica&ccedil;&atilde;o transita para sua fase de implanta&ccedil;&atilde;o de carga &uacute;til prim&aacute;ria. O malware aloca a mem&oacute;ria execut&aacute;vel usando virtualAllocwithpage_execute_readWritePermissions e copia o c&oacute;digo de shell descriptografado para este buffer.
Em vez de executar diretamente o c&oacute;digo shell, o malware abusa doEnumfontswapi Mecanismo de retorno de chamada passando o endere&ccedil;o do c&oacute;digo shell como o ponteiro da fun&ccedil;&atilde;o de retorno de chamada &ndash; uma t&eacute;cnica que evita muitas solu&ccedil;&otilde;es de monitoramento de seguran&ccedil;a.
O shellcode implantado, identificado AspublOader, implementa o hash da API usando o algoritmo ROR13 para resolver dinamicamente as APIs do Windows necess&aacute;rias.
Este componente executa o Bloco de Ambiente de Processo (PEB) caminhando para localizar e carregar os m&oacute;dulos necess&aacute;rios, estabelecendo a comunica&ccedil;&atilde;o com a infraestrutura de comando e controle para exfiltrar as informa&ccedil;&otilde;es do sistema.
A campanha demonstra a evolu&ccedil;&atilde;o cont&iacute;nua de Mustang Panda na segmenta&ccedil;&atilde;o de metodologias, combinando elementos de engenharia social espec&iacute;ficos para interesses tibetanos com t&eacute;cnicas avan&ccedil;adas de ofusca&ccedil;&atilde;o t&eacute;cnica.
As equipes de seguran&ccedil;a devem implementar o monitoramento abrangente para padr&otilde;es incomuns de carregamento de DLL, cria&ccedil;&atilde;o de tarefas programadas e modifica&ccedil;&otilde;es suspeitas de registro para detectar campanhas semelhantes de maneira eficaz.
Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualiza&ccedil;&otilde;es instant&acirc;neas e definir GBH como uma fonte preferida emGoogle.