Группировка злоумышленников, которую специалисты по кибербезопасности связывают с китайским правительством, пыталась "провернуть" шпионскую операцию, направленную на российских чиновников.
Исследователи безопасности, анализируя фишинговую кампанию, направленную на российских госслужащих, обнаружили доказательства, указывающие на китайского агента угроз, отслеживаемого как Mustang Panda (также известного как HoneyMyte и Bronze President).
Ранее эта хакерская группировка, вдохновленная СО на Украине, была замечена в организации шпионской кампаний по сбору разведданных против чиновников из Евросоюза.
Работа по изучению "лазеек" для проникновения в российские госструктуры велась и ранее. Однако, говоря дипломатическим языком, две страны пытались оставаться в рамках дружественных отношений и поэтому разведка уязвимых мест в сетях государственных учреждений и компаний ВПК была "вялой и малопродуктивной".
Новые доказательства, представленные в отчете компании Secureworks, специализирующейся на кибербезопасности, указывают на то, что ситуация может поменяться в корне.
Фишинг российских чиновников
Китайский кентавр с головой панды, решил пойти старой проторенной дорожкой, применив в атаке фишинговые email-заманухи, рассылая англоязычные документы, якобы выпущенных Европейским союзом и содержащие санкции против Беларуси (о как!).
Письма, рассылаемые хакерами Mustang Panda, содержат исполняемые файлы Windows (.exe), замаскированные под PDF-файлы и названые в честь российского города Благовещенск, расположенного недалеко от границы с Китаем.
Данный факт позволил исследователям предположить, что целью этой кампании является российский персонал в регионе, что еще больше подтверждает теорию о том, что Китай может перейти к более активным методам сбора разведданных.
При открытии PDF-вложения, происходит загрузка множества дополнительных файлов, включая ранее упомянутую "грамоту" из ЕС, вредоносный DLL-загрузчик, зашифрованный вариант PlugX и файл .EXE с цифровой подписью.
Загрузка PlugX
Загрузчик DLL выполняет перехват порядка поиска DLL, используя легитимный подписанный файл (от британской компании Global Graphics Software Ltd), который уязвим для этого трюка. Метод типичен для Mustang Panda, использующих ПО PlugX для хакерских атак.
Такой подход позволяет злоумышленникам "бесшумно" загружать вредоносный DLL-загрузчик DocConvDll.dll, не вызывая срабатывания систем безопасности на устройстве.
DLL-загрузчик экспортирует восемь функций, но только одна из них содержит соответствующие инструкции. По всей видимости, это делается для того, чтобы избежать автоматического анализа.
Функция 'createSystemFontsUsingEDL' загружает, расшифровывает и выполняет файл FontLog.dat, который и является полезной нагрузкой вредоноса PlugX.
Образец PlugX, добытый и проанализированный Secureworks, был поврежден, однако его код указывает на побочную загрузку DLL и выполнение вредоносной программы из вновь созданного каталога по адресу "C:\ProgramData\Fuji Xerox\Fonts\".
В этой кампании использовался тот же сервер, который осуществлял поддержку кампании против дипломатов ЕС, а также хостинг домена zyber-i[.]com, который так же был замешан в этой операции.
Стоит отметить, что PlugX использовался столь многими противниками, что атрибуция на основе этой вредоносной программы невозможна.
Однако Secureworks однозначно связала эту кампанию с Bronze President/Mustang Panda на основании используемой инфраструктуры, которая в прошлом приписывалась именно этому агенту угроз.
Выходим, вас запятнали!
Несмотря на то, что Mustang Panda продолжает использовать одни те же штаммы вредоносного ПО и инструменты хакинга, и даже несмотря на то, что части ее инфраструктуры пересекаются с прошлыми кампаниями, этот угрожающий агент остается относительно скрытным и мощным.
По-видимому, он сосредоточен на обновлении фишинговых приманок и создании специализированных сообщений электронной почты для очень узких целевых операций, поэтому сбор разведданных постоянно меняется.
На данный момент использование предоставленных индикаторов компрометации для защиты электронной почты и сетей сделает большинство попыток заражения неэффективными.