Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
MITRE ATT&CK - Преступная группа Putter Panda
Каталоги
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Риски
Каталоги
MITRE ATT&CK
Преступная группа
Putter Panda
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Putter Panda

Putter Panda is a Chinese threat group that has been attributed to Unit 61486 of the 12th Bureau of the PLA’s 3rd General Staff Department (GSD). (Citation: CrowdStrike Putter Panda)
ID: G0024
Associated Groups: APT2, MSUpdater
Version: 1.1
Created: 31 May 2017
Last Modified: 30 Mar 2020

Associated Group Descriptions
Name Description
APT2 (Citation: Cylance Putter Panda)
MSUpdater (Citation: CrowdStrike Putter Panda)

Techniques Used
Domain ID Name Use
Enterprise T1547 .001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder

A dropper used by Putter Panda installs itself into the ASEP Registry key HKCU\Software\Microsoft\Windows\CurrentVersion\Run with a value named McUpdate.(Citation: CrowdStrike Putter Panda)
Enterprise T1562 .001 Impair Defenses: Disable or Modify Tools

Malware used by Putter Panda attempts to terminate processes corresponding to two components of Sophos Anti-Virus (SAVAdminService.exe and SavService.exe).(Citation: CrowdStrike Putter Panda)
Enterprise T1055 .001 Process Injection: Dynamic-link Library Injection

An executable dropped onto victims by Putter Panda aims to inject the specified DLL into a process that would normally be accessing the network, including Outlook Express (msinm.exe), Outlook (outlook.exe), Internet Explorer (iexplore.exe), and Firefox (firefox.exe).(Citation: CrowdStrike Putter Panda)

Software
ID Name References Techniques
S0066 3PARA RAT (Citation: CrowdStrike Putter Panda) Symmetric Cryptography, Web Protocols, File and Directory Discovery, Timestomp
S0067 pngdowner (Citation: CrowdStrike Putter Panda) Web Protocols, File Deletion, Credentials In Files
S0065 4H RAT (Citation: CrowdStrike Putter Panda) File and Directory Discovery, System Information Discovery, Windows Command Shell, Web Protocols, Symmetric Cryptography, Process Discovery
S0068 httpclient (Citation: CrowdStrike Putter Panda) Symmetric Cryptography, Web Protocols, Windows Command Shell

References

  1. Crowdstrike Global Intelligence Team. (2014, June 9). CrowdStrike Intelligence Report: Putter Panda. Retrieved January 22, 2016.
  2. Gross, J. and Walter, J.. (2016, January 12). Puttering into the Future.... Retrieved January 22, 2016.
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.