Az új Mustang Panda-támadás: a CoolClient hátsóajtója veszélyeztet

A Mustang Panda nevű kínai kémkedéssel foglalkozó hackercsoport frissítette a CoolClient nevű trójai programját, amely mostantól képes böngészőkből jelszavakat lopni, és a vágólap tartalmát is figyelni. A Kaspersky kutatói szerint a legújabb változat már egy eddig ismeretlen rootkit terjesztésére is alkalmas, amelynek technikai részleteiről később adnak ki elemzést. A CoolClient kapcsolata a Mustang Pandával 2022 óta ismert, és általában más hátsóajtó-programokkal, például a PlugX-szel vagy a LuminousMoth-tal együtt vetik be.

Támadások célpontjai és módszerei

Legutóbb Mianmar, Mongólia, Malajzia, Oroszország és Pakisztán kormányzati rendszerei voltak a támadók célkeresztjében. A támadók a Sangfor nevű, kínai kiberbiztonsági vállalat szoftverei mögé rejtették a kártevőt. Korábban a Bitdefender, a VLC Media Player és az Ulead PhotoImpact hitelesített fájljait használták fel a terjesztéshez. A CoolClient rendszerinformációkat és felhasználói adatokat – például a számítógép nevét, az operációs rendszer adatait, a RAM méretét, hálózati információkat és az illesztőprogramokat – gyűjt.

Fejlődő funkciók és kiegészítők

A CoolClient többlépéses, titkosított .DAT-fájlokat futtat, módosítja a Rendszerleíró adatbázist, új Windows-szolgáltatásokat állít be, illetve időzített feladatokat hoz létre a jelenlét fenntartása érdekében. Képes megkerülni a felhasználói fiókok felügyeletét (UAC), és jogosultságot emelni. Alapfunkciói között rendszer- és felhasználóprofilozás, fájlműveletek, billentyűnaplózás, TCP-alagút létrehozása és bővítmények RAM-ban futtatása is szerepel. A legújabb verzióban már vágólap-figyelő modul, aktívablak-figyelés és HTTP-proxy hitelesítési adatok lopása is elérhető.

Bővített bővítményrendszer és lopási technikák

Új, dedikált bővítményekkel menedzselhetők a Windows-szolgáltatások és a fájlműveletek; kezelik a rendszer meghajtóit és fájljait, a ZIP-tömörítést, a hálózati meghajtókat, és parancssori visszajelzést is biztosítanak. Kiemelendő, hogy a böngészők adatlopására különféle változatokat fejlesztettek: a Chrome-ra (A), az Edge-re (B) és minden Chromium-alapú böngészőre (C) ható családokat azonosítottak. A megszerzett adatokat titkosított API-tokennel, például Google Drive-ra vagy Pixeldrain-re mentik, hogy elkerüljék a lebukást.

A Mustang Panda továbbfejleszti eszköztárát

A Mustang Panda folyamatosan bővíti arzenálját; nemrég a ToneShell egy új változatát használta kormányzati rendszerek ellen, Tajvan nemzetbiztonsági hivatalának jelentései szerint a legaktívabb veszélyforrások közé tartozik.

2025, adrienne, www.bleepingcomputer.com alapján