Спецпроекты

Безопасность ИТ в госсекторе Техника

Стратегически мыслящая шпионская группировка атакует правительства по всему миру

Китайская шпионская группировка Mustang Panda, которая не была заметна с 2018 г., использует украденные с помощью фишинга и взломов документов в качестве приманок для последующих атак. Эксперты отмечают, что масштабы шпионской кампании носят стратегический характер.

У них много имен

Эксперты компании Trend Micro опубликовали исследование по поводу активности китайской кибершпионской группировки MustangPanda. В последнее время она очень активно проводит узконаправленные атаки на правительства различных стран, а также на образовательные и исследовательские учреждения. В то время как объекты ее интереса представлены на всех континентах, больше всего, похоже, досталось Австралии. Кроме этого повышенный интерес отмечен в отношении Мьянмы, Филиппин, Японии и Тайваня.

Mustang Panda также известна под названиями Bronze President, Earth Preta, HoneyMyte и Red Lich. Свои атаки эта группа осуществляет как минимум с 2018 г. Для нее характерно использование вредоносных программ China Chopper, Cobalt Strike и PlugX; с их помощью выводятся данные из скомпрометированных сред.

Деятельность группы в разное время фиксировали и анализировали разные компании, занимающиеся вопросами кибербезопасности, в том числе, ESET, Google, Proofpoint, Cisco Talos и Secureworks.

По данным Trend Micro, которая использует номенклатуру Earth Preta, в последнее время эта группа совершенствовала свои приемы обеспечения скрытности и активно распространяла семейства вредоносных программ Toneins, Toneshell и Pubload в дополнение к другим уже упомянутым вредоносам.

hake_600.jpg
Группировка Mustang Panda из Китая настойчиво атакует чиновников

В частности, операторы Mustang Panda/Earth Preta использовали поддельные аккаунты Google, с которых рассылались спиэр-фишинговые письма; сами по себе вредоносы хранились в архивах RAR/ZIP/JAR в облаке Google Drive.

В некоторых случаях фишинговые сообщения распространялись с заранее взломанных почтовых адресов, принадлежащих определенным организациям (в материале Trend Micro не уточняется, идет ли речь о тех организациях, на которые направлены атаки, или каких-то других). По-видимому, таким образом хакеры стремились повысить свои шансы на успех.

Острые геополитические темы

В качестве основной приманки использовались документы на «спорные геополитические темы» и, по-видимому, это срабатывало и неоднократно.

При открытии документов-приманок вредоносы попадали в целевую систему через побочную загрузку DLL (DLLside-loading).

В систему сгружались сразу три труднообнаруживаемых вредоноса: Toneins (инсталятор), Toneshell (основной бэкдор) и Pubload («стейджер» — вредоносная программа, задачей которой является загрузка следующих компонентов вредоносного набора).

Pubload был обнаружен Cisco Talos в мае 2022 г.; два других вредоноса, тесно с ним связанных, наблюдать до сих пор не приходилось.

В TrendMicro отметили, что содержание документов-приманок может свидетельствовать о предварительной разведке, производившейся злоумышленниками. Кроме того, все похищенные у жертв документы впоследствии могут использоваться в качестве «векторов» для последующих волн атак, уже на другие организации.

«Такой каскадный фишинг свидетельствует о том, что масштабы шпионской кампании носят стратегический характер, — считает Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Это не разовая операция, направленная на решение какой-то специфической задачи. Речь идет именно о стратегическом охвате. Время активности группировки свидетельствует о том же. Теперь ее операторы, скорее всего, попытаются сменить свой арсенал на что-то еще, хотя обычно такие группы предпочитают держаться за одни и те же проверенные инструменты как можно дольше».

Роман Георгиев

Короткая ссылка