Новости Mustang Panda использует интересную приманку в своей новой вредоносной кампании

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022

Для распространения PlugX вновь используется социальная инженерия и вредоносные ярлыки.​


b52oq97erzu08m8iuz101im52up3i3ik.jpg


В 2019 году китайская хакерская группировка Mustang Panda нацелилась на правительственные и общественные организации в Азии и Европе. Киберпреступники проводили долгосрочные кампании кибершпионажа в соответствии со стратегическими интересами правительства Китая.

До ноября 2022 года группировка использовала в своих атаках вредоносные архивные файлы, однако теперь применяет другой метод. Для просмотра ссылки Войди или Зарегистрируйся компании Для просмотра ссылки Войди или Зарегистрируйся , в настоящее время Mustang Panda активно использует файлы оптических дисков «.iso», содержащие вредоносные файлы-ярлыки «.lnk». Ярлыки замаскированы под документы Microsoft Office Word, поэтому беглым взглядом понять неладное жертвам атаки не всегда удаётся.


089btbrxs63tizu7cwldagpu5d3txtda.png

Вредоносный файл-ярлык, скачивающий полезную нагрузку PlugX Не обошлось тут и без социальной инженерии. Файл, который распространяют хакеры из Mustang Panda называется «Письмо в Европейскую Комиссию об ограничении цен на российскую нефть». А в параметрах запуска прописана команда: «C:\Windows\System32\cmd.exe /q /c "System Volume Information\ \test2022.ucp"».

«test2022.ucp» в этой команде — это переименованное легитимное программное обеспечение, которое изначально называется «LMIGuardianSvc.exe», часть некогда популярной в СНГ программы LogMeIn Hamachi для создания локальных мостов между компьютерами. Исполняемый файл «LMIGuardianSvc.exe» используется злоумышленниками для взлома DLL и скачивания на компьютер зашифрованного загрузчика PlugX под названием «LMIGuardianDll.dll». Затем он дешефруется в готовый для атаки вредонос «LMIGuardianDat.dat».


fn3btxywj1hj5ror9000hklu0545w018.png


Процесс «распаковки» вируса PlugX После успешного выполнения вредоносного ПО PlugX подключается к удаленному серверу C2, который используется для отправки команд на скомпрометированные системы и получения отфильтрованных данных из целевой сети. Таким образом злоумышленники могут удаленно выполнять различные команды в зараженной системе.

Общая схема атаки, по итогу, выглядит следующим образом:


88fma7pshwy1039w568wrft35bbvo7nf.png


Схема доставки и активации вредоноса на компьютер жертвы Аналитики EclecticIQ считают, что целью конкретно этого документа-приманки была европейская организация. Группировка Mustang Panda и ранее атаковала европейские организации примерно тем же путём. Сейчас группировка остаётся активной угрозой для всей Европы и Азии. По мнению специалистов из EclecticIQ, Mustang Panda в будущем ещё больше увеличит свою активность и продолжит использовать схожие методы атак в ответ на геополитические события в мире.
 
Источник новости
www.securitylab.ru

Похожие темы