- 13,896
- 20
- 8 Ноя 2022
Китай улучшает методы заражения своих жертв.
Исследователи из ИБ-компании Trend Micro связали китайскую группировку Mustang Panda с серией целевых фишинговых атак, направленных на правительственные, образовательные и исследовательские секторы по всему миру. Основными целями атак с мая по октябрь 2022 года были страны Азиатско-Тихоокеанского региона – Мьянма, Австралия, Филиппины, Япония и Тайвань.
По Для просмотра ссылки Войди
Карта активности Mustang Panda
Mustang Panda с помощью поддельных аккаунтов Google распространяла вредоносное ПО через фишинговые электронные письма. ВПО хранится в файле архива (RAR/ZIP/JAR) и распространяется с помощью ссылок на Google Диск.
Хаеры получают первоначальный доступ с помощью документов-приманок, которые охватывают противоречивые геополитические темы, чтобы побудить целевые организации загрузить и запустить вредоносное ПО. В некоторых случаях фишинговые сообщения были отправлены с ранее скомпрометированных аккаунтов электронной почты, принадлежащих определенным организациям.
Архивы при открытии отображают документ-приманку для жертвы, а вредоносное ПО незаметно загружается в фоновом режиме с помощью метода DLL Side-Loading
Цепочка атак Mustang Panda
Цепочки атак в конечном итоге устанавливают 3 семейства ранее неизвестных вредоносных программ, PUBLOAD, TONEINS и TONESHELL, которые способны загружать полезную нагрузку следующего этапа и оставаться незамеченными. TONESHELL, основной бэкдор, устанавливается через TONEINS и представляет собой загрузчик шелл-кода;
Кибершпионская группировка Earth Preta разрабатывает собственные загрузчики в сочетании с существующими инструментами PlugX и Cobalt Strike. Украденные конфиденциальные документы жертв могут быть использованы как первоначальные векторы для следующих вторжений. Эта стратегия значительно расширяет масштабы поражения в регионе.
- Источник новости
- https://www.securitylab.ru/news/534879.php
