注意してください！APTマスタングパンダグループは過小評価されるべきではありません

ジャカルタ - 数年前から活動してきた高度な持続性グループ(APT)、ハニーマイテ別名マスタングパンダは、過去数年間に攻撃を実行するために異なる技術を採用し、様々なターゲティングプロファイルに焦点を当ててきました。

昨年7月に発表されたサイバーセキュリティ企業Kasperskyの最近の報告によると、少なくとも2020年10月以降、ミャンマーとフィリピンの政府機関に対してサイバースパイ攻撃が行われていることが明らかになった。

当初はミャンマーに焦点を当てながら、脅威アクターはフィリピンに焦点を移しました。彼らは通常、Dropboxのダウンロードリンクを使用してスピアフィッシングメールを介してシステムに最初の足がかりを得ます。

このリンクをクリックすると、悪意のあるペイロードを含む Word 文書を装った RAR アーカイブがダウンロードされます。システムにダウンロードされると、マルウェアはリムーバブルUSBドライブを介して拡散することによって他のホストに感染しようとします。ドライブが見つかった場合、マルウェアはドライブに隠しディレクトリを作成し、被害者のファイルと悪意のある実行可能ファイルをすべて移動します。

カスペルスキーの専門家は、この活動はLuminousMothと呼ばれ、有名な中国語の脅威アクターであるHoneyMyte(長年にわたる、中程度から高い信頼)と密接に関連しています。

HoneyMyteは、主にアジアとアフリカの地政学的・経済的情報収集に関心を持っています。たとえば、2018年半ばから行われた以前の攻撃では、この脅威アクターはPlugXインプラントとCobaltStrikeに似た多段階のPowerShellスクリプトを使用しました。このキャンペーンは、ミャンマー、モンゴル、エチオピア、ベトナム、バングラデシュの政府機関を対象としています。

アジアやアフリカの政府機関をターゲットにしたカスペルスキーは、HoneyMyteの主な動機の1つは地政学的・経済的知性の収集であると評価しています。

このような攻撃から組織を安全に保つ方法は多数あります。カスペルスキーの専門家は、VOI、9月13日月曜日にまとめたように示唆しています。

多くの標的型攻撃がフィッシングやその他のソーシャル エンジニアリング技術から始まるので、基本的なサイバーセキュリティ衛生トレーニングをスタッフに提供します。APTおよびEDR対策ソリューションをインストールし、タイムリーな脅威検出と検出、調査、インシデント改善機能を実現します。

SOCチームに最新の脅威インテリジェンスへのアクセスを提供し、定期的にプロのトレーニングで更新します。

適切なエンドポイント保護を組織に装備することで、専用サービスを使用することで、注目度の高い攻撃との戦いに役立ちます。