В последнее время две группы APT, связанные с Китаем, активно осуществляют кибератаки на объекты и страны, связанные с Ассоциацией государств Юго-Восточной Азии (ASEAN). Они ведут кампанию кибершпионажа уже более трех месяцев. Источник: Palo Alto Networks
Одна из этих групп, известная как Mustang Panda, атакует Мьянму и другие азиатские страны с использованием вредоносного ПО PlugX, также известного как DOPLUGS.
Mustang Panda, известная также под именами Camaro Dragon, Earth Preta и Stately Taurus, отправляла фишинговые письма для распространения вредоносных программ в Филиппинах, Мьянме, Сингапуре, а также Японии. Эти атаки совпали с проведением саммита ASEAN-Австралия, что указывает на их целенаправленность.
Читайте также: Китайские хакеры запускают в странах Азии кампании по кибершпионажу
Аналитики выявили два вида распространяемого вредоносного ПО. Первый — ZIP-файл, содержащий исполняемый файл «Talking_Points_for_China.exe», который при запуске загружает вредоносную библиотеку «KeyScramblerIE.dll», активируя вирус PUBLOAD, часто используемый хакерами Mustang Panda.
Второе вредоносное ПО — файл «Note PSO.scr», который извлекает вредоносный код из удаленного адреса, включая программу с подписью одной из крупных компаний-разработчиков видеоигр, замаскированную под «WindowsUpdate.exe».
Также был обнаружен сетевой трафик между объектом, связанным с ASEAN, и инфраструктурой управления второй китайской группы APT, что может указывать на возможное вторжение в систему. Эта группа, также атаковавшая Камбоджу, пока остается неопознанной для исследователей.
Напомним, поскольку китайская экономика терпит крах, в следующем году КНР, вероятно, будет проводить более агрессивные кампании кибершпионажа, направленные на кражу иностранной интеллектуальной собственности, говорится в официальном документе компании Cyjax, занимающейся разведкой угроз.
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet