Политическая обстановка между странами вынуждает Китай подключить своих разведчиков.
В ноябре 2023 года и январе 2024 года Министерство обороны и Министерство иностранных дел Мьянмы стали целью кибератак предположительно китайской хакерской группировки Mustang Panda. Об этом Для просмотра ссылки Войдиили Зарегистрируйся команда CSIRT-CTI после анализа артефактов, связанных с атаками, которые были загружены на платформу VirusTotal .
Главным методом хакеров стало использование легитимного ПО, включая разработанный инженерной фирмой Bernecker & Rainer (B&R) двоичный файл и компонент помощника по обновлению Windows 10 для загрузки вредоносных DLL -библиотек.
Mustang Panda (Stately Taurus, Camaro Dragon, Bronze President) активно действует с 2012 года. В последние месяцы группе приписывают атаки, нацеленные на правительства Для просмотра ссылки Войдиили Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся с целью внедрения бэкдоров для сбора конфиденциальной информации.
Первая атака в ноябре 2023 года началась с фишингового электронного письма с вложением в виде ZIP-архива, содержащего легитимный исполняемый файл (Analysis of the third meeting of NDSC.exe), изначально подписанный B&R Industrial Automation GmbH, и файл DLL (BrMod104.dll).
Атака использует тот факт, что двоичный файл подвержен перехвату порядка поиска DLL ( DLL Search Order Hijacking ), чтобы загрузить вредоносную DLL и впоследствии установить постоянство и контакт с сервером управления и контроля (Command and Control, C2 ), а затем развернуть в системе бэкдор PUBLOAD, который, в свою очередь, действует как специальный загрузчик для доставки импланта PlugX .
Хакеры пытались маскировать трафик C2-сервера под трафик обновления Microsoft, добавляя заголовки «Host: www[.]asia[.]microsoft[.]com» и «User-Agent: Windows-Update-Agent».
Вторая январская атака использовала образ оптического диска (ASEAN Notes.iso), содержащий LNK-ярлыки для запуска многоэтапного процесса с использованием другого специализированного загрузчика TONESHELL для возможной установки PlugX с уже недоступного C2-сервера, как предположили специалисты.
После нападений повстанцев на севере Мьянмы в октябре 2023 года, Китай выразил озабоченность по поводу влияния этих событий на торговые пути и безопасность вдоль границы Мьянмы и Китая. Операции Stately Taurus известны тем, что совпадают с геополитическими интересами китайского правительства, включая многочисленные кампании шпионажа против Мьянмы.
В ноябре 2023 года и январе 2024 года Министерство обороны и Министерство иностранных дел Мьянмы стали целью кибератак предположительно китайской хакерской группировки Mustang Panda. Об этом Для просмотра ссылки Войди
Главным методом хакеров стало использование легитимного ПО, включая разработанный инженерной фирмой Bernecker & Rainer (B&R) двоичный файл и компонент помощника по обновлению Windows 10 для загрузки вредоносных DLL -библиотек.
Mustang Panda (Stately Taurus, Camaro Dragon, Bronze President) активно действует с 2012 года. В последние месяцы группе приписывают атаки, нацеленные на правительства Для просмотра ссылки Войди
Первая атака в ноябре 2023 года началась с фишингового электронного письма с вложением в виде ZIP-архива, содержащего легитимный исполняемый файл (Analysis of the third meeting of NDSC.exe), изначально подписанный B&R Industrial Automation GmbH, и файл DLL (BrMod104.dll).
Атака использует тот факт, что двоичный файл подвержен перехвату порядка поиска DLL ( DLL Search Order Hijacking ), чтобы загрузить вредоносную DLL и впоследствии установить постоянство и контакт с сервером управления и контроля (Command and Control, C2 ), а затем развернуть в системе бэкдор PUBLOAD, который, в свою очередь, действует как специальный загрузчик для доставки импланта PlugX .
Хакеры пытались маскировать трафик C2-сервера под трафик обновления Microsoft, добавляя заголовки «Host: www[.]asia[.]microsoft[.]com» и «User-Agent: Windows-Update-Agent».
Вторая январская атака использовала образ оптического диска (ASEAN Notes.iso), содержащий LNK-ярлыки для запуска многоэтапного процесса с использованием другого специализированного загрузчика TONESHELL для возможной установки PlugX с уже недоступного C2-сервера, как предположили специалисты.
После нападений повстанцев на севере Мьянмы в октябре 2023 года, Китай выразил озабоченность по поводу влияния этих событий на торговые пути и безопасность вдоль границы Мьянмы и Китая. Операции Stately Taurus известны тем, что совпадают с геополитическими интересами китайского правительства, включая многочисленные кампании шпионажа против Мьянмы.
- Источник новости
- www.securitylab.ru