Спонсируемый государством китайский субъект угроз, известный как Mustang Panda, нацелен на правительственные организации и исследователей по всему миру с помощью трех вариантов вредоносных программ, размещенных на Google Диске, Dropbox и аналогичных облачных хранилищах. (откроется в новой вкладке) решения.
Исследователи Trend Micro недавно обнаружили новую кампанию вредоносных программ, нацеленную в основном на организации, расположенные в Австралии, Японии, Тайване, Мьянме и на Филиппинах.
Mustang Panda была инициирована в марте 2022 года и продлится как минимум до октября. Злоумышленники создавали фишинговое электронное письмо, отправляли его на поддельный адрес, сохраняя фактическую жертву в CC. Исследователи предполагают, что таким образом злоумышленники хотели свести к минимуму шансы быть обнаруженными антивирусными инструментами, решениями для защиты электронной почты и т.п.
Доставка вредоносных архивов
«Тема письма может быть пустой или иметь то же имя, что и вредоносный архив», — говорится в отчете. «Вместо того, чтобы добавлять адреса жертв в заголовок электронного письма «Кому», злоумышленники использовали поддельные электронные письма. Между тем, настоящие адреса жертв были написаны в заголовке «CC», что, вероятно, уклонилось от анализа безопасности и замедлило расследование».
Еще одна вещь, которую они сделали, чтобы избежать обнаружения, — хранить вредоносное ПО в законных облачных хранилищах в файле .ZIP или .RAR, поскольку эти платформы обычно заносятся в белый список инструментами безопасности. Однако, если жертва попадется на эту уловку, загрузит и запустит файл архива, она получит эти три настраиваемых штамма вредоносного ПО: PubLoad, ToneIns и ToneShell.
PubLoad — это стейджер, используемый для загрузки полезной нагрузки следующего этапа со своего сервера C2. Он также добавляет новые разделы реестра и запланированные задачи для обеспечения постоянства. ToneIns — это установщик ToneShell, основного бэкдора. Хотя этот процесс может показаться слишком сложным, он работает как механизм защиты от песочницы, объяснили исследователи, поскольку бэкдор не работает в среде отладки.
Основная задача вредоносного ПО — загрузка, скачивание и выполнение файлов. Среди прочего, он может создавать оболочки для обмена данными внутри сети или изменять конфигурацию сна. В последнее время вредоносное ПО получило несколько новых функций, говорят исследователи, предполагая, что Mustang Panda усердно работает, совершенствует свой инструментарий и становится все опаснее с каждым днем.
С помощью: Пищит Компьютер (откроется в новой вкладке)
