Спонсируемый государством китайский субъект угроз, известный как Mustang Panda, нацелен на правительственные организации и исследователей по всему миру с помощью трех вариантов вредоносного ПО, размещенных на Google Диске, Dropbox и аналогичных облачных хранилищах (открывается в новом сообщении).
Исследователи Trend Micro недавно обнаружили новую кампанию вредоносного ПО, в первую очередь нацеленную на организации, расположенные в Австралии, Японии, Тайване, Мьянме и на Филиппинах.
Mustang Panda был запущен в марте 2022 года и просуществовал как минимум до октября. Злоумышленники создавали фишинговое письмо, отправляли его на поддельный адрес, копируя реальную жертву. Таким образом, предполагают исследователи, злоумышленники хотели минимизировать риски быть обнаруженными антивирусными средствами, решениями для защиты электронной почты и т. д.
Доставлять вредоносные файлы
«Тема письма может быть пустой или иметь то же имя, что и вредоносный файл», — говорится в отчете. Вместо добавления адресов жертв в заголовок письма «Кому» злоумышленники использовали поддельные электронные письма. Между тем адреса реальных жертв были написаны в заголовке «CC», что может ускользнуть от анализа безопасности и замедлить расследование».
Еще одна вещь, которую они сделали, чтобы избежать обнаружения, заключалась в том, чтобы хранить вредоносное ПО в законных облачных хранилищах в файле .ZIP или .RAR, поскольку эти платформы часто заносятся в белый список инструментами защиты от вредоносных программ. Однако если жертва попадется на эту уловку, загрузит и запустит заархивированный файл, она получит эти три настраиваемых штамма вредоносного ПО: PubLoad, ToneIns и ToneShell.
PubLoad — это планировщик этапов, используемый для загрузки полезной нагрузки следующего этапа с вашего C2-сервера. Он также добавляет новые ключи реестра и запланированные задачи для установки постоянства. ToneIns — это установщик ToneShell, основного бэкдора. Исследователи объяснили, что хотя этот процесс может показаться чрезмерно сложным, он работает как механизм защиты от песочницы, потому что бэкдор не будет работать в среде отладки.
Основная задача вредоносного ПО — загрузка, скачивание и выполнение файлов. Среди прочего, вы можете создавать оболочки для обмена данными внутри сети или изменять настройки сна. По словам исследователей, вредоносное ПО недавно получило некоторые новые функции, что говорит о том, что Mustang Panda усердно работает, совершенствуя свой набор инструментов и становясь все более опасным с каждым днем.
Через: BleepingComputer (открывается в новой вкладке)
