07.02.2023 | Mustang Panda использует интересную приманку в своей новой вредоносной кампании |
В 2019 году китайская хакерская группировка Mustang Panda нацелилась на правительственные и общественные организации в Азии и Европе. Киберпреступники проводили долгосрочные кампании кибершпионажа в соответствии со стратегическими интересами правительства Китая. До ноября 2022 года группировка использовала в своих атаках вредоносные архивные файлы, однако теперь применяет другой метод. Согласно отчёту компании EclecticIQ , в настоящее время Mustang Panda активно использует файлы оптических дисков «.iso», содержащие вредоносные файлы-ярлыки «.lnk». Ярлыки замаскированы под документы Microsoft Office Word, поэтому беглым взглядом понять неладное жертвам атаки не всегда удаётся.
Вредоносный файл-ярлык, скачивающий полезную нагрузку PlugX Не обошлось тут и без социальной инженерии. Файл, который распространяют хакеры из Mustang Panda называется «Письмо в Европейскую Комиссию об ограничении цен на российскую нефть». А в параметрах запуска прописана команда: «C:WindowsSystem32cmd.exe /q /c "System Volume Information est2022.ucp"». «test2022.ucp» в этой команде — это переименованное легитимное программное обеспечение, которое изначально называется «LMIGuardianSvc.exe», часть некогда популярной в СНГ программы LogMeIn Hamachi для создания локальных мостов между компьютерами. Исполняемый файл «LMIGuardianSvc.exe» используется злоумышленниками для взлома DLL и скачивания на компьютер зашифрованного загрузчика PlugX под названием «LMIGuardianDll.dll». Затем он дешефруется в готовый для атаки вредонос «LMIGuardianDat.dat».
Процесс «распаковки» вируса PlugX После успешного выполнения вредоносного ПО PlugX подключается к удаленному серверу C2, который используется для отправки команд на скомпрометированные системы и получения отфильтрованных данных из целевой сети. Таким образом злоумышленники могут удаленно выполнять различные команды в зараженной системе. Общая схема атаки, по итогу, выглядит следующим образом:
Схема доставки и активации вредоноса на компьютер жертвы Аналитики EclecticIQ считают, что целью конкретно этого документа-приманки была европейская организация. Группировка Mustang Panda и ранее атаковала европейские организации примерно тем же путём. Сейчас группировка остаётся активной угрозой для всей Европы и Азии. По мнению специалистов из EclecticIQ, Mustang Panda в будущем ещё больше увеличит свою активность и продолжит использовать схожие методы атак в ответ на геополитические события в мире. |
Проверить безопасность сайта