Бесплатно Экспресс-аудит сайта:

07.02.2023

Mustang Panda использует интересную приманку в своей новой вредоносной кампании

В 2019 году китайская хакерская группировка Mustang Panda нацелилась на правительственные и общественные организации в Азии и Европе. Киберпреступники проводили долгосрочные кампании кибершпионажа в соответствии со стратегическими интересами правительства Китая.

До ноября 2022 года группировка использовала в своих атаках вредоносные архивные файлы, однако теперь применяет другой метод. Согласно отчёту компании EclecticIQ , в настоящее время Mustang Panda активно использует файлы оптических дисков «.iso», содержащие вредоносные файлы-ярлыки «.lnk». Ярлыки замаскированы под документы Microsoft Office Word, поэтому беглым взглядом понять неладное жертвам атаки не всегда удаётся.

Вредоносный файл-ярлык, скачивающий полезную нагрузку PlugX

Не обошлось тут и без социальной инженерии. Файл, который распространяют хакеры из Mustang Panda называется «Письмо в Европейскую Комиссию об ограничении цен на российскую нефть». А в параметрах запуска прописана команда: «C:WindowsSystem32cmd.exe /q /c "System Volume Information est2022.ucp"».

«test2022.ucp» в этой команде — это переименованное легитимное программное обеспечение, которое изначально называется «LMIGuardianSvc.exe», часть некогда популярной в СНГ программы LogMeIn Hamachi для создания локальных мостов между компьютерами. Исполняемый файл «LMIGuardianSvc.exe» используется злоумышленниками для взлома DLL и скачивания на компьютер зашифрованного загрузчика PlugX под названием «LMIGuardianDll.dll». Затем он дешефруется в готовый для атаки вредонос «LMIGuardianDat.dat».

Процесс «распаковки» вируса PlugX

После успешного выполнения вредоносного ПО PlugX подключается к удаленному серверу C2, который используется для отправки команд на скомпрометированные системы и получения отфильтрованных данных из целевой сети. Таким образом злоумышленники могут удаленно выполнять различные команды в зараженной системе.

Общая схема атаки, по итогу, выглядит следующим образом:

Схема доставки и активации вредоноса на компьютер жертвы

Аналитики EclecticIQ считают, что целью конкретно этого документа-приманки была европейская организация. Группировка Mustang Panda и ранее атаковала европейские организации примерно тем же путём. Сейчас группировка остаётся активной угрозой для всей Европы и Азии. По мнению специалистов из EclecticIQ, Mustang Panda в будущем ещё больше увеличит свою активность и продолжит использовать схожие методы атак в ответ на геополитические события в мире.