Найти в Дзене
Айтуби / IT to Business
33 подписчика

КИТАЙСКИЕ ХАКЕРЫ НАПИСАЛИ НА ВИРУСЕ: «НЕ ПУТАЙТЕ С РУССКИМИ»

1
1 мин
В сети была выявлена новая целевая кампания кибершпионажа, направленная против государственных структур США. Для доставки вредоносного ПО злоумышленники использовали архив, маскирующийся под документ, связанный с политической ситуацией в Венесуэле. Этот метод — известная тактика китайской группы Mustang Panda, которая часто использует актуальные международные новости в качестве приманки для атак на дипломатические и правительственные организации. Вредоносная нагрузка скрывалась внутри подменённого исполняемого файла, который при запуске незаметно загружал в систему скрытую библиотеку DLL с названием LOTUSLITE. Этот модуль действовал как инструмент для удалённого доступа (бэкдор), предоставляя злоумышленникам возможности для сбора данных, кражи файлов, выполнения команд и сохранения постоянного присутствия в заражённой системе. Для скрытности сетевого трафика использовалось шифрование HTTPS, а запросы маскировались под легитимные обращения к популярным интернет-сервисам. Наиболее примеч

В сети была выявлена новая целевая кампания кибершпионажа, направленная против государственных структур США. Для доставки вредоносного ПО злоумышленники использовали архив, маскирующийся под документ, связанный с политической ситуацией в Венесуэле. Этот метод — известная тактика китайской группы Mustang Panda, которая часто использует актуальные международные новости в качестве приманки для атак на дипломатические и правительственные организации.

Вредоносная нагрузка скрывалась внутри подменённого исполняемого файла, который при запуске незаметно загружал в систему скрытую библиотеку DLL с названием LOTUSLITE. Этот модуль действовал как инструмент для удалённого доступа (бэкдор), предоставляя злоумышленникам возможности для сбора данных, кражи файлов, выполнения команд и сохранения постоянного присутствия в заражённой системе. Для скрытности сетевого трафика использовалось шифрование HTTPS, а запросы маскировались под легитимные обращения к популярным интернет-сервисам.

Наиболее примечательным элементом расследования стало обнаружение внутри кода библиотеки текстовых строк, оставленных самими разработчиками. На плохом английском языке одна из них гласила: «Only don’t confuse us with russians» («Только не путайте нас с русскими»). В другом месте прямо упоминался Китай. Подобные «автографы» — не новость для Mustang Panda; группа и раньше использовала подобные провокационные метки, что может служить как элементом оперативной маскировки, так и своеобразной «сигнатурой».

Анализ методов заражения, структуры кода и используемой инфраструктуры командных серверов уверенно указывает на причастность Mustang Panda. Группа известна своей долгосрочной деятельностью, ориентированной на государственные и дипломатические цели по всему миру.

Эта история — яркий пример того, как геополитика проникает в киберпространство. Хакеры не только воруют данные, но и активно занимаются информационными манипуляциями, пытаясь запутать следы и перенаправить подозрения на других игроков. Ограниченный масштаб атаки говорит о ее целевом, а не массовом характере, что делает ее особенно опасной для государственных институтов. К счастью, в данном случае угроза была вовремя обнаружена и нейтрализована.