Бесплатно Экспресс-аудит сайта:

10.09.2022

У Европы и Америки появился Бронзовый Президент из Китая

ИБ-компания Secureworks заявила , что китайская хакерская группа Bronze President атакует правительственных чиновников в Европе, на Ближнем Востоке и в Южной Америке с помощью модульного вредоносного ПО PlugX. Secureworks выявила шпионские кампании группы в июне и июле 2022 года.

Согласно отчету, RAT-троян PlugX связывается с сервером управления и контроля (C&C) для выполнения задач и может загружать дополнительные плагины для расширения своих возможностей помимо сбора базовой информации.

По словам Secureworks, в своей кампании Bronze President отправляет жертвам документ-приманку на политическую тематику, которая соответствует регионам, имеющим стратегическое значение для Китая.

Цепочки атак распространяют RAR-архивы, которые содержат LNK-файл ярлыка Windows. Ярлык маскируется под PDF-документ, при открытии которого выполняется легитимный файл, находящийся во вложенной скрытой папке, встроенной в архив. Затем документ-приманка удаляется, а полезная нагрузка PlugX устанавливает постоянство на зараженном хосте.


Скрытая папка и ярлык в архиве

Исследователи призвали организации и госучреждения в географических регионах, представляющих интерес для Китая, должны внимательно следить за деятельностью этой группы.

Bronze President предположительно спонсируется китайским правительством и действует по крайней мере с июля 2018 года, используя сочетание проприетарных и общедоступных инструментов для компрометации и сбора данных своих жертв. Группа также известна под другими названиями – HoneyMyte, Mustang Panda, Red Lich и Temp.Hex. Одним из ее основных инструментов является PlugX, RAT-троян, широко распространенный среди китайских хакеров.

Ранее в этом году группировка Bronze President атаковала российских чиновников с помощью обновленной версии трояна PlugX, рассылая фишинговые письма.