Китайская правительственная группировка Mustang Panda (также известная как Bronze President, Earth Preta, HoneyMyte, и Red Lich) использует приманки, связанные с событиями в Украине, для шпионских кибератак на объекты в Европе и Азиатско-Тихоокеанском регионе (АТР).
Об этом сообщает
BlackBerry Research and Intelligence Team, которая проанализировала архивный RAR-файл под названием «Политическое руководство для нового подхода ЕС к России.rar». Некоторые из целевых стран включают Вьетнам, Индию, Пакистан, Кению, Турцию, Италию и Бразилию.
В архиве-приманке содержится ярлык к файлу Microsoft Word, который использует технику DLL Sideloading, чтобы запустить RAT-троян PlugX в памяти перед отображением документа.
Цепочки атак в конечном итоге устанавливают 3 ранее неизвестных бэкдора PUBLOAD, TONEINS и TONESHELL , которые способны загружать полезную нагрузку следующего этапа и оставаться незамеченными. TONESHELL, основной бэкдор, устанавливается через TONEINS и представляет собой загрузчик шелл-кода.
Обнаруженные целевые фишинговые атаки группы направлены на правительственный, образовательный и исследовательский секторы в Азиатско-Тихоокеанском регионе.
Аналитик BlackBerry Дмитрий Бестужев заявил, что цепочка атак Mustang Panda по-прежнему включает архивные файлы, ярлыки и вредоносные загрузчики для доставки PlugX, но сам процесс доставки обычно настраивается индивидуально для каждого региона, чтобы заманить жертву и выполнить полезную нагрузку с целью шпионажа.
Киберпреступники постоянно обновляют свой основной набор инструментов, используя существующие вредоносные программы, а также разрабатывают свои собственные инструменты для каждой новой кампании. Это отмечает высокий уровень ресурсов, сложности и опыта хакеров Mustang Panda.
Источник: SecurityLab