Grupul de hacking apartinand guvernului chinez, denumit Mustang Panda , folosește momeli legate de războiul ruso-ucrainean în curs pentru a ataca entități din Europa și Asia Pacific.
Potrivit echipei BlackBerry Research and Intelligence, care a analizat un fișier de arhivă RAR intitulat „Political Guidance for the new EU approach to Russia.rar”. Unele dintre țările vizate includ Vietnam, India, Pakistan, Kenya, Turcia, Italia și Brazilia.
Mustang Panda este un grup prolific de spionaj cibernetic din China, care este cunoscut și sub numele Bronze President, Earth Preta, HoneyMyte, RedDelta și Red Lich.
Se crede că este activ din iulie 2018, conform profilului facut Secureworks , deși indicii arată că actorul amenințării a vizat entități din întreaga lume încă din 2012.
Se știe că Mustang Panda se bazează în mare măsură pe trimiterea de atașamente cu arme prin e-mailuri de phishing pentru a obține infecția inițială, intruziunile ducând în cele din urmă la implementarea troianului de acces la distanță PlugX.
Cu toate acestea, recentele atacuri de tip spear-phishing întreprinse de grupul care vizează sectoarele guvernamentale, educaționale și de cercetare din regiunea Asia Pacific au implicat programe malware personalizate precum PUBLOAD, TONEINS și TONESHELL, sugerând o extindere a arsenalul său de malware.
Cele mai recente descoperiri de la BlackBerry arată că procesul de bază a infecție a rămas mai mult sau mai puțin același, chiar dacă Mustang Panda continuă să folosească evenimentele geopolitice în avantajul lor, reluând rapoartele anterioare de la Google și Proofpoint .
În arhiva momeală se află o comandă rapidă către un fișier Microsoft Word, care folosește încărcarea laterală a DLL – o tehnică care a fost folosită și în atacurile care vizează Myanmar la începutul acestui an – pentru a începe execuția PlugX în memorie, înainte de a afișa documentul. continuturi.
„Lanțul lor de atac rămâne în concordanță cu utilizarea continuă a fișierelor de arhivă, a fișierelor de comandă rapidă, a încărcătoarelor rău intenționate și a utilizării malware-ului PlugX, deși configurarea lor de livrare este de obicei personalizată pe regiune/țară pentru a atrage victimele să-și execute încărcăturile utile în speranța că stabilirea persistenței cu intenția de spionaj”, a declarat Dmitry Bestuzhev de la BlackBerry pentru The Hacker News.
Sursa : thehackernews.com