Связанный с Китаем актер Mustang Panda был причастен к кибератаке, направленной против правительственного учреждения Филиппин на фоне растущей напряженности между двумя странами из-за спорного Южно-Китайского моря.
Подразделение Palo Alto Networks 42 приписало враждебный коллектив трем кампаниям в августе 2023 года, в первую очередь выделяя организации в Южной части Тихого океана.
"В кампаниях использовалось законное программное обеспечение, включая Solid PDF Creator и SmadavProtect (индонезийское антивирусное решение), для удаления вредоносных файлов", - заявили в компании.
"Авторы угрозы также творчески настроили вредоносное ПО для подделки законных подключений Microsoft traffic for command and control (C2)".
Mustang Panda, также отслеживаемая под именами Bronze President, Camaro Dragon, Earth Preta, RedDelta и Stately Taurus, оценивается как китайская передовая постоянная угроза (APT), действующая как минимум с 2012 года, организующая кибершпионажа, нацеленные на неправительственные организации (НПО) и правительственные учреждения по всей Северной Америке, Европе и Азии.
В конце сентября 2023 года подразделение 42 также привлекло злоумышленника к атакам, направленным против неназванного правительства Юго-Восточной Азии, с целью распространения варианта бэкдора под названием TONESHELL.
Последние кампании используют фишинговые электронные письма для доставки вредоносного ZIP-архива, содержащего поддельную библиотеку динамических ссылок (DLL), которая запускается с использованием технологии, называемой боковой загрузкой DLL. Впоследствии библиотека DLL устанавливает контакт с удаленным сервером.
По оценкам, правительственная структура Филиппин, вероятно, была скомпрометирована в течение пятидневного периода с 10 по 15 августа 2023 года.
Использование SmadavProtect - известная тактика, принятая компанией Mustang Panda в последние месяцы, в результате которой было внедрено вредоносное ПО, специально разработанное для обхода решения безопасности.
"Stately Taurus продолжает демонстрировать свою способность проводить постоянные операции по кибершпионажу как один из самых активных китайских APT", - заявили исследователи.
"Эти операции нацелены на различные организации по всему миру, которые связаны с геополитическими темами, представляющими интерес для китайского правительства".
Раскрытие произошло после того, как был раскрыт южнокорейский талантливый актер по имени Хигайса, который нацеливался на китайских пользователей через фишинговые сайты, имитирующие известные программные приложения, такие как OpenVPN.
"После запуска программа установки удаляет и запускает в системе вредоносное ПО на основе Rust, впоследствии запускающее шелл-код", - сообщила Cyble в конце прошлого месяца. "Шелл-код выполняет операции по отладке и дешифрованию. После этого он устанавливает зашифрованную командно-контрольную связь (C & C) с удаленным субъектом угрозы (TA)".
Подразделение Palo Alto Networks 42 приписало враждебный коллектив трем кампаниям в августе 2023 года, в первую очередь выделяя организации в Южной части Тихого океана.
"В кампаниях использовалось законное программное обеспечение, включая Solid PDF Creator и SmadavProtect (индонезийское антивирусное решение), для удаления вредоносных файлов", - заявили в компании.
"Авторы угрозы также творчески настроили вредоносное ПО для подделки законных подключений Microsoft traffic for command and control (C2)".
Mustang Panda, также отслеживаемая под именами Bronze President, Camaro Dragon, Earth Preta, RedDelta и Stately Taurus, оценивается как китайская передовая постоянная угроза (APT), действующая как минимум с 2012 года, организующая кибершпионажа, нацеленные на неправительственные организации (НПО) и правительственные учреждения по всей Северной Америке, Европе и Азии.
В конце сентября 2023 года подразделение 42 также привлекло злоумышленника к атакам, направленным против неназванного правительства Юго-Восточной Азии, с целью распространения варианта бэкдора под названием TONESHELL.
Последние кампании используют фишинговые электронные письма для доставки вредоносного ZIP-архива, содержащего поддельную библиотеку динамических ссылок (DLL), которая запускается с использованием технологии, называемой боковой загрузкой DLL. Впоследствии библиотека DLL устанавливает контакт с удаленным сервером.
По оценкам, правительственная структура Филиппин, вероятно, была скомпрометирована в течение пятидневного периода с 10 по 15 августа 2023 года.
Использование SmadavProtect - известная тактика, принятая компанией Mustang Panda в последние месяцы, в результате которой было внедрено вредоносное ПО, специально разработанное для обхода решения безопасности.
"Stately Taurus продолжает демонстрировать свою способность проводить постоянные операции по кибершпионажу как один из самых активных китайских APT", - заявили исследователи.
"Эти операции нацелены на различные организации по всему миру, которые связаны с геополитическими темами, представляющими интерес для китайского правительства".
Раскрытие произошло после того, как был раскрыт южнокорейский талантливый актер по имени Хигайса, который нацеливался на китайских пользователей через фишинговые сайты, имитирующие известные программные приложения, такие как OpenVPN.
"После запуска программа установки удаляет и запускает в системе вредоносное ПО на основе Rust, впоследствии запускающее шелл-код", - сообщила Cyble в конце прошлого месяца. "Шелл-код выполняет операции по отладке и дешифрованию. После этого он устанавливает зашифрованную командно-контрольную связь (C & C) с удаленным субъектом угрозы (TA)".
