Mustang Panda: кто стоит за кибершпионажем против Мьянмы и стран Азии?

VPN для безопасного серфинга в России – купи через наш Телеграмм-бот:

Политическая обстановка между странами вынуждает Китай подключить своих разведчиков.

В ноябре 2023 года и январе 2024 года Министерство обороны и Министерство иностранных дел Мьянмы стали целью кибератак предположительно китайской хакерской группировки Mustang Panda. Об этом сообщила команда CSIRT-CTI после анализа артефактов, связанных с атаками, которые были загружены на платформу VirusTotal.

Главным методом хакеров стало использование легитимного ПО, включая разработанный инженерной фирмой Bernecker & Rainer (B&R) двоичный файл и компонент помощника по обновлению Windows 10 для загрузки вредоносных DLL-библиотек.

Mustang Panda (Stately Taurus, Camaro Dragon, Bronze President) активно действует с 2012 года. В последние месяцы группе приписывают атаки, нацеленные на правительства Юго-Восточной Азии и Филиппин с целью внедрения бэкдоров для сбора конфиденциальной информации.

Забудь про блокировки! VPN через Телеграмм-бот для России!

Первая атака в ноябре 2023 года началась с фишингового электронного письма с вложением в виде ZIP-архива, содержащего легитимный исполняемый файл (Analysis of the third meeting of NDSC.exe), изначально подписанный B&R Industrial Automation GmbH, и файл DLL (BrMod104.dll).

Атака использует тот факт, что двоичный файл подвержен перехвату порядка поиска DLL (DLL Search Order Hijacking), чтобы загрузить вредоносную DLL и впоследствии установить постоянство и контакт с сервером управления и контроля (Command and Control, C2), а затем развернуть в системе бэкдор PUBLOAD, который, в свою очередь, действует как специальный загрузчик для доставки импланта PlugX .

Хакеры пытались маскировать трафик C2-сервера под трафик обновления Microsoft, добавляя заголовки «Host: www[.]asia[.]microsoft[.]com» и «User-Agent: Windows-Update-Agent».

Вторая январская атака использовала образ оптического диска (ASEAN Notes.iso), содержащий LNK-ярлыки для запуска многоэтапного процесса с использованием другого специализированного загрузчика TONESHELL для возможной установки PlugX с уже недоступного C2-сервера, как предположили специалисты.

  Прощай, Луна? Возвращение через 7,6 миллиарда лет и гибель в объятиях Солнца

После нападений повстанцев на севере Мьянмы в октябре 2023 года, Китай выразил озабоченность по поводу влияния этих событий на торговые пути и безопасность вдоль границы Мьянмы и Китая. Операции Stately Taurus известны тем, что совпадают с геополитическими интересами китайского правительства, включая многочисленные кампании шпионажа против Мьянмы.

Кодовое слово дня — безопасность.

Узнай больше — подпишись на нас!

Онлайн VPN сервис — это виртуальная частная сеть (VPN), доступная для использования через интернет. Такие сервисы позволяют пользователям безопасно и анонимно подключаться к интернету, защищая их данные и обеспечивая конфиденциальность в сети. Онлайн VPN сервисы становятся все более популярными, так как они предоставляют простое и удобное решение для защиты интернет-трафика.

Онлайн VPN сервис — это важный инструмент для обеспечения безопасности и конфиденциальности в интернете. Он позволяет защитить ваши данные, обходить блокировки и сохранять анонимность. Выбор надежного онлайн VPN поможет вам безопасно серфить в интернете и защитить свою личную информацию.