Атаките срещу правителствени мрежи с цел шпионаж зачестиха напоследък(снимка: CC0

Атаките против държавни мрежи за шпионаж зачестиха в последно време
(снимка: CC0 Public Domain)

Китайската група за кибершпионаж MustangPanda в последно време е доста дейна, извършвайки тясно ориентирани офанзиви против държавни управления на разнообразни страни, както и против просветителни и проучвателен институции, твърди изследване на компанията за сигурност TrendMicro.

Групата има ползи на всеки континент на планетата, само че Австралия наподобява е във фокуса на вниманието на кибер-шпионите. Освен това се следи нараснал интерес на групата към Мианмар, Филипините, Япония и Тайван.

Mustang Panda е известна още като Bronze President, Earth Preta, HoneyMyte и Red Lich. Тази група нападна държавни управления най-малко от 2018 година, като употребява злотворен програмен продукт China Chopper, Cobalt Strike и PlugX, с цел да получи данни от компрометираните среди.

Дейността на групата е записвана и оценена по друго време от разнообразни компании за киберсигурност, в това число Eset, Гугъл, Proofpoint, Cisco Talos и Secureworks.

Според Trend Micro, която употребява номенклатурата Earth Preta, в последно време групата усъвършенства своите стелт-техники и интензивно популяризира семействата злоумишлен програмен продукт Toneins, Toneshell и Pubload, в допълнение към упоменатите нагоре.
още по темата
По-специално, операторите на Mustang Panda/Earth Preta употребяват подправени сметки в Гугъл, с цел да изпращат фишинг имейли; самият злотворен програмен продукт се съхранява в RAR/ZIP/JAR архиви в облака на Гугъл Drive.

В някои случаи фишинг известията са популяризират от авансово хакнати имейл адреси, принадлежащи на избрани организации. Очевидно по този метод хакерите желаят да усилят възможностите си за триумф.

Като съществена стръв групата употребява документи по “противоречиви геополитически тематики ” и наподобява това е проработило повече от един път. Когато документите-примамки бъдат отворени, зловредният програмен продукт влиза в целевата система посредством DLLside-loading.

Три сложни за разкриване модули се зареждат в системата едновременно: Toneins (инсталатор), Toneshell (главна задна врата – backdoor) и Pubload („ stager “ – злонамерена стратегия, чиято задача е да изтегли идващите съставни елементи от пакета). Pubload беше открит от Cisco Talos през май 2022 г.; два други софтуера, тясно свързани с него, към момента не са следени.

Съдържанието на документите за стръв може да свидетелства за авансово разузнаване, осъществено от нападателите, разяснява TrendMicro. В допълнение, всички документи, откраднати от жертвите, могат по-късно да бъдат употребявани като „ вектори “ за следващи талази от офанзиви, към този момент против други организации.