ИБ-компания Secureworks заявила , что китайская хакерская группа Bronze President атакует правительственных чиновников в Европе, на Ближнем Востоке и в Южной Америке с помощью модульного вредоносного ПО PlugX. Secureworks выявила шпионские кампании группы в июне и июле 2022 года.
Согласно отчету, RAT-троян PlugX связывается с сервером управления и контроля (C&C) для выполнения задач и может загружать дополнительные плагины для расширения своих возможностей помимо сбора базовой информации.
По словам Secureworks, в своей кампании Bronze President отправляет жертвам документ-приманку на политическую тематику, которая соответствует регионам, имеющим стратегическое значение для Китая.
Цепочки атак распространяют RAR-архивы, которые содержат LNK-файл ярлыка Windows. Ярлык маскируется под PDF-документ, при открытии которого выполняется легитимный файл, находящийся во вложенной скрытой папке, встроенной в архив. Затем документ-приманка удаляется, а полезная нагрузка PlugX устанавливает постоянство на зараженном хосте.
Скрытая папка и ярлык в архиве
Исследователи призвали организации и госучреждения в географических регионах, представляющих интерес для Китая, должны внимательно следить за деятельностью этой группы.
Bronze President предположительно спонсируется китайским правительством и действует по крайней мере с июля 2018 года, используя сочетание проприетарных и общедоступных инструментов для компрометации и сбора данных своих жертв. Группа также известна под другими названиями – HoneyMyte, Mustang Panda, Red Lich и Temp.Hex. Одним из ее основных инструментов является PlugX, RAT-троян, широко распространенный среди китайских хакеров.
Ранее в этом году группировка Bronze President атаковала российских чиновников с помощью обновленной версии трояна PlugX, рассылая фишинговые письма.
Источник: SecurityLab