Китайская панда попадает в сети Азиатских стран

Исследователи из ИБ-компании Trend Micro связали китайскую группировку Mustang Panda с серией целевых фишинговых атак, направленных на правительственные, образовательные и исследовательские секторы по всему миру. Основными целями атак с мая по октябрь 2022 года были страны Азиатско-Тихоокеанского региона – Мьянма, Австралия, Филиппины, Япония и Тайвань.

По данным Trend Micro, Mustang Panda (также известная как Bronze President, Earth Preta, HoneyMyte, и Red Lich) продолжает развивать свои методы избегания обнаружения и развертывания специализированного вредоносного ПО.

Карта активности Mustang Panda

Mustang Panda с помощью поддельных аккаунтов Google распространяла вредоносное ПО через фишинговые электронные письма. ВПО хранится в файле архива (RAR/ZIP/JAR) и распространяется с помощью ссылок на Google Диск.

Хаеры получают первоначальный доступ с помощью документов-приманок, которые охватывают противоречивые геополитические темы, чтобы побудить целевые организации загрузить и запустить вредоносное ПО. В некоторых случаях фишинговые сообщения были отправлены с ранее скомпрометированных аккаунтов электронной почты, принадлежащих определенным организациям.

Архивы при открытии отображают документ-приманку для жертвы, а вредоносное ПО незаметно загружается в фоновом режиме с помощью метода DLL Side-Loading

Цепочка атак Mustang Panda

Цепочки атак в конечном итоге устанавливают 3 семейства ранее неизвестных вредоносных программ, PUBLOAD, TONEINS и TONESHELL, которые способны загружать полезную нагрузку следующего этапа и оставаться незамеченными. TONESHELL, основной бэкдор, устанавливается через TONEINS и представляет собой загрузчик шелл-кода;

Кибершпионская группировка Earth Preta разрабатывает собственные загрузчики в сочетании с существующими инструментами PlugX и Cobalt Strike. Украденные конфиденциальные документы жертв могут быть использованы как первоначальные векторы для следующих вторжений. Эта стратегия значительно расширяет масштабы поражения в регионе.