Эксперты компании по кибербезопасности Trend Micro обвинили китайских хакеров из группировки Mustang Panda в проведении атак с применением нового вредоносного ПО FDMTP и PTSOCKET. Эти программы используются для загрузки вредоносных компонентов и кражи данных из взломанных сетей правительственных учреждений по всему миру. Специалисты обнаружили, что хакеры применяют вариант червя HIUPAN для доставки вредоносного ПО PUBLOAD через съёмные диски в инфицированные сети.
Хакерская группа Mustang Panda (также известная как HoneyMyte, Bronze President, Earth Preta, Polaris, Stately Taurus) — якобы поддерживаемая правительством КНР китайская группа, занимающаяся кибершпионажем против правительственных и неправительственных организаций. Основной фокус их деятельности сосредоточен в Азиатско-Тихоокеанском регионе, однако в сферу их интересов входят и организации в других частях мира, утверждают специалисты компании Trend Micro.
По результатам проведённого исследования, эксперты заявили, что группировка Mustang Panda обычно использует фишинговые письма в качестве первоначального вектора атаки. В опубликованном отчёте исследователи Trend Micro указали, что новые атаки распространяют PUBLOAD по сети через заражённые съёмные диски с вариантом червя HIUPAN. Этот червь скрывает своё присутствие, перемещая все файлы в скрытый каталог, оставляя на диске только один видимый, внешне легитимный файл под названием «USBConfig.exe», чтобы обманом заставить пользователя запустить его.
PUBLOAD является основным инструментом управления атаками. Он выполняется через загрузку DLL, устанавливает свою устойчивость путём изменения реестра Windows, а затем выполняет разведывательные команды для составления карты сети. Помимо PUBLOAD, злоумышленники использовали новый вредоносный код FDMTP, который действует как вторичный инструмент контроля. По словам исследователей, FDMTP встроен в раздел данных DLL и может быть развёрнут посредством техники DLL-sideloading.
Сбор данных в ходе недавних атак Mustang Panda осуществляется в архивах RAR и нацелен на файлы форматов .DOC, .DOCX, .XLS, .XLSX, .PDF, .PPT и .PPTX с установленными датами окончания срока действия. Хакеры извлекают информацию через PUBLOAD с помощью инструмента cURL, но также существует альтернатива в виде пользовательского инструмента передачи файлов PTSOCKET, который реализован на базе TouchSocket через DMTP.
Оригинал публикации на сайте CISOCLUB: "Китайские хакеры применяют новое вредоносное ПО для кражи данных в атаках на правительственные структуры".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
