Спонсируемый китайским государством злоумышленник, известный как Mustang Panda, нацелен на правительственные организации и исследователей по всему миру с помощью трех вариантов вредоносного ПО, размещенных на Google Drive, Dropbox и аналогичных облачных хранилищах (открывается в новом пестании).
Исследователи Trend Micro недавно обнаружили новую кампанию вредоносного ПО, нацеленную в первую очередь на организации, расположенные в Австралии, Японии, Тайване, Мьянме и на Филиппинах.
Mustang Panda был запущен в марте 2022 года и просуществовал как минимум до октября. Злоумышленники создавали фишинговое электронное письмо, отправляли его на поддельный адрес, копируя при этом реальную жертву. Таким образом, предполагают исследователи, злоумышленники хотели минимизировать риски быть обнаруженными антивирусными инструментами, решениями по обеспечению безопасности электронной почты и т. д.
Доставлять вредоносные файлы
«Тема письма может быть пустой или иметь то же имя, что и вредоносный файл», — говорится в отчете. «Вместо того, чтобы добавлять адреса жертв в заголовок «Кому» электронного письма, злоумышленники использовали поддельные электронные письма. Между тем, реальные адреса жертв были записаны в заголовок «CC», что может обойти безопасность анализа и замедлить расследование.
Еще одна вещь, которую они сделали, чтобы избежать обнаружения, — это хранить вредоносное ПО в законных облачных хранилищах в архивах .ZIP или .RAR, поскольку эти платформы часто заносятся в белый список инструментами безопасности вредоносного ПО. Однако если жертва попадет в ловушку, загрузит и запустит zip-файл, она получит три специальных штамма вредоносного ПО: PubLoad, ToneIns и ToneShell.
PubLoad — это организатор этапов, используемый для загрузки полезных данных следующего этапа с вашего сервера C2. Он также добавляет новые ключи реестра и запланированные задачи для обеспечения устойчивости. ToneIns — это установщик ToneShell, который является основным бэкдором. Исследователи объяснили, что хотя этот процесс может показаться слишком сложным, он работает как механизм защиты от песочницы, поскольку бэкдор не запускается в среде отладки.
Основная задача вредоносного ПО — загрузка, скачивание и выполнение файлов. Помимо прочего, вы можете создавать оболочки для обмена данными в интрасети или изменять настройки сна. По мнению исследователей, вредоносная программа недавно получила некоторые новые функции, что позволяет предположить, что Mustang Panda усердно работает, совершенствуя свой набор инструментов и становясь все более опасным с каждым днем.
Через: BleepingComputer (открывается в новой вкладке)