Ось тобі й союзник: китайські урядові хакери атакують російських чиновників і військових

29 квітня 2022, 17:25
Читать новость на русском

Джерело:

Secureworks

Дослідники компанії Secureworks виявили фішингову кампанію, націлену на російських чиновників та військових. Експерти кажуть, що за атаками стоять китайські "урядові" хакери з групи Mustang Panda.

Mustang Panda також відомі під іменами HoneyMyte, Bronze President, RedDelta і TA416. Зазвичай вони займаються кібершпіонажем.

Цікаво Хакери Anonymous опублікували 350 тисяч електронних листів російської Accent Capital

Що відомо

  • Ця хакерська група активна як мінімум з липня 2018 року, і найчастіше її атаки націлені на різні регіони Південно-Східної Азії, хоча часом хакери також цікавляться цілями з країн Європи та США.
  • Secureworks повідомляє, що тепер Mustang Panda демонструє незвичайну для себе поведінку, оскільки зловмисники, зосередилися на російських військовослужбовцях і чиновниках, що працюють недалеко від кордону з Китаєм.
  • У своїх фішингових приманках хакери експлуатують тему "спецоперації" в Україні.
  • Шкідливі документи являють собою файли .exe, але маскуються під документи у форматі PDF і названі російською мовою — "Благовещенск - Благовещенск пограничный отряд". 
  • Попри російську назву, написані документи англійською мовою і маскуються під опубліковані ЄС дані про санкції проти Білорусі.
  • Чому використана саме англійська мова, неясно. Логіка хакерів тут залишається таємницею.

Якщо спробувати відкрити файл, розповідають дослідники, з нього "витягується" безліч додаткових файлів, у тому числі сам документ-приманка, шкідливий завантажувач DLL, зашифрований варіант віруса PlugX (Korplug) і ще один файл .exe.

PlugX є основним інструментом хакерів і являє собою троян віддаленого доступу для Windows, який дозволяє виконувати різні команди в заражених системах, красти файли, встановлювати бекдори й додаткові шкідливі завдання.