В недавнем отчете, подготовленном исследовательской группой somedieyoung, установлена прямая связь между новым видом вредоносных программ и хакерской группировкой Mustang Panda/Red Delta, которая подозревается в шпионаже в Китае. Этот анализ демонстрирует масштабы деятельности группы, действующей с 2014 года, и подчеркивает угрозу, которую она представляет для различных организаций по всему миру.
Цели и охват Mustang Panda
Mustang Panda в первую очередь ориентирована на:
- Государственные учреждения
- Некоммерческие организации
- Компании в США, Европе, Вьетнаме, Мьянме и Пакистане
Анализ позволяет отслеживать первоначальные результаты до домена jpkinki[.]com, размещенного по IP-адресу 139[.]180[.]192[.]163. Примечательно, что использование инструментов, таких как Validin, дает важную информацию о предметной области.
Обнаруженные признаки компрометации
Проверка баннеров хостинга, связанных с указанным доменом, выявила новые признаки компрометации (IOCs), включая:
- Ссылки на вредоносное ПО PlugX
- Тесная связь с Mustang Panda
Дальнейший анализ инфраструктуры хостинга, в частности IP-адреса 45[.]76[.]132[.]25, привел к получению уникального отпечатка JARM, который соответствует известной вредоносной программе PlugX. Это подтверждает связь с Red Delta.
Дополнительные находки и связи с APT41
В ходе анализа было выявлено более 400 IP-адресов и доменов, связанных с PlugX и группой Red Delta. Интересно, что некоторые из этих находок могут указывать на потенциальное совпадение с APT41 — группой, которая известна своей деятельностью как в сфере кибершпионажа, так и в финансово мотивированных преступлениях.
Обнаружение этих совпадений повышает вероятность использования общей инфраструктуры или тактики между APT41 и Mustang Panda, что указывает на сложный ландшафт взаимодействия хакеров.
Заключение
Благодаря первичному выявлению IOCS, связанных с Red Delta, дальнейшее расследование привело к открытию дополнительной инфраструктуры и операционных взаимосвязей с APT41. Этот перекрестный анализ подчеркивает сложности взаимосвязей, существующих в среде хакеров, и их значимость для достижения шпионских целей. Как утверждает исследование, «_Mustang Panda остается значительным игроком в киберугрозах_».
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Вредоносные программы: связь Mustang Panda и кибершпионажа".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
