Стратегически мыслящая шпионская группировка атакует правительства по всему миру
Китайская шпионская группировка Mustang Panda, которая не была заметна с 2018 г., использует украденные с помощью фишинга и взломов документов в качестве приманок для последующих атак. Эксперты отмечают, что масштабы шпионской кампании носят стратегический характер.
У них много имен
Эксперты компании Trend Micro опубликовали исследование по поводу активности китайской кибершпионской группировки MustangPanda. В последнее время она очень активно проводит узконаправленные атаки на правительства различных стран, а также на образовательные и исследовательские учреждения. В то время как объекты ее интереса представлены на всех континентах, больше всего, похоже, досталось Австралии. Кроме этого повышенный интерес отмечен в отношении Мьянмы, Филиппин, Японии и Тайваня.
Mustang Panda также известна под названиями Bronze President, Earth Preta, HoneyMyte и Red Lich. Свои атаки эта группа осуществляет как минимум с 2018 г. Для нее характерно использование вредоносных программ China Chopper, Cobalt Strike и PlugX; с их помощью выводятся данные из скомпрометированных сред.
Деятельность группы в разное время фиксировали и анализировали разные компании, занимающиеся вопросами кибербезопасности, в том числе, ESET, Google, Proofpoint, Cisco Talos и Secureworks.
По данным Trend Micro, которая использует номенклатуру Earth Preta, в последнее время эта группа совершенствовала свои приемы обеспечения скрытности и активно распространяла семейства вредоносных программ Toneins, Toneshell и Pubload в дополнение к другим уже упомянутым вредоносам.

В частности, операторы Mustang Panda/Earth Preta использовали поддельные аккаунты Google, с которых рассылались спиэр-фишинговые письма; сами по себе вредоносы хранились в архивах RAR/ZIP/JAR в облаке Google Drive.
В некоторых случаях фишинговые сообщения распространялись с заранее взломанных почтовых адресов, принадлежащих определенным организациям (в материале Trend Micro не уточняется, идет ли речь о тех организациях, на которые направлены атаки, или каких-то других). По-видимому, таким образом хакеры стремились повысить свои шансы на успех.
Острые геополитические темы
В качестве основной приманки использовались документы на «спорные геополитические темы» и, по-видимому, это срабатывало и неоднократно.
При открытии документов-приманок вредоносы попадали в целевую систему через побочную загрузку DLL (DLLside-loading).
В систему сгружались сразу три труднообнаруживаемых вредоноса: Toneins (инсталятор), Toneshell (основной бэкдор) и Pubload («стейджер» — вредоносная программа, задачей которой является загрузка следующих компонентов вредоносного набора).
Pubload был обнаружен Cisco Talos в мае 2022 г.; два других вредоноса, тесно с ним связанных, наблюдать до сих пор не приходилось.
В TrendMicro отметили, что содержание документов-приманок может свидетельствовать о предварительной разведке, производившейся злоумышленниками. Кроме того, все похищенные у жертв документы впоследствии могут использоваться в качестве «векторов» для последующих волн атак, уже на другие организации.
«Такой каскадный фишинг свидетельствует о том, что масштабы шпионской кампании носят стратегический характер, — считает Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Это не разовая операция, направленная на решение какой-то специфической задачи. Речь идет именно о стратегическом охвате. Время активности группировки свидетельствует о том же. Теперь ее операторы, скорее всего, попытаются сменить свой арсенал на что-то еще, хотя обычно такие группы предпочитают держаться за одни и те же проверенные инструменты как можно дольше».