Связанная с Китаем хакерская группа национального государства называется Мустанг Панда использование ложных целей, связанных с продолжающейся российско-украинской войной, для нападения на объекты в Европе и Азиатско-Тихоокеанском регионе.
Об этом сообщает исследовательская и разведывательная группа BlackBerry, которая проанализировала архивный файл RAR под названием «Политическое руководство по новому подходу ЕС к России.rar». Некоторые из целевых стран включали Вьетнам, Индию, Пакистан, Кению, Турцию, Италию и Бразилию.
Mustang Panda — успешная группа кибершпионажа из Китая, которую также отслеживали под именами Bronze President, Earth Preta, HoneyMyte, RedDelta и Red Lich.
Согласно профилю угроз Secureworks, считается, что он активен по крайней мере с июля 2018 года, хотя есть признаки того, что злоумышленники нацеливались на организации по всему миру еще в 2012 году.
Известно, что Mustang Panda в значительной степени полагается на отправку вложений оружия через фишинговые электронные письма для первоначального заражения, при этом вторжение в конечном итоге приводит к развертыванию трояна удаленного доступа PlugX.
Однако недавние целевые фишинговые атаки, проведенные группой, нацеленные на правительственный, образовательный и исследовательский секторы в Азиатско-Тихоокеанском регионе, включали специализированные вредоносные программы, такие как PUBLOAD, TONEINS и TONESHELL, что указывает на расширение ее арсенала вредоносных программ.
Недавние выводы BlackBerry показывают, что основной процесс заражения остается более или менее таким же, даже несмотря на то, что Mustang Pandas продолжают использовать геополитические события в своих интересах, повторяя предыдущие отчеты Google и Proofpoint.
В архиве-приманке содержится ярлык к файлу Microsoft Word, который использует загрузку неопубликованной библиотеки DLL — метод, который также использовался в атаке, нацеленной на Мьянму в начале этого года, — чтобы инициировать выполнение PlugX в памяти перед визуализацией документа. содержание.
«Цепочки их атак по-прежнему соответствуют постоянному использованию архивных файлов, файлов ярлыков, вредоносных загрузчиков и использованию вредоносных программ PlugX, хотя их настройки доставки обычно настраиваются для каждого региона/страны, чтобы заманить жертв к выполнению своих полезных нагрузок в надежде на создание стойкости с помощью шпионских целях», — сказал Дмитрий Бестужев из BlackBerry в интервью The Hacker News.
:quality(70)/cloudfront-us-east-1.images.arcpublishing.com/adn/5253HTE7EZH2NMXZJOC5GPB5O4.jpg "I just got dumped by my much younger girlfriend and it still stings")
