Китайские хакеры взялись за российских чиновников

 

Китайская хакерская группа Mustang Panda (HoneyMyte и Bronze President) проводить фишингвую кампанию в отношении российских чиновников.

Доказательства таких атак обнаружили специалисты в сфере киберзащиты, пишет BleepingComputer

Россия всегда был под угрозом, хотя и в ограниченном масштабе, поскольку две страны – РФ и Китай — в целом поддерживают хорошие геополитические отношения.

В недавнем отчете компания по кибербезопасности Secureworks представляет новые доказательства атак на РФ, которое может быть не таким ограниченным, как считалось ранее.

Злоумышленники используют фишинговые ловушки, заложенные в документах на английском языке, предположительно опубликованных Европейским союзом и содержащих детали санкций против Беларуси.

Китайские хакеры взялись за российских чиновников

Хотя отправленные файлы являются файлами Windows (.exe), они отображаются в формате PDF и названы в честь российского города Благовещенск, расположенного недалеко от границы с Китаем.

Это говорит о том, что целью этой кампании является российский персонал в регионе, что еще раз подтверждает теорию о том, что Китай может перейти к новым целям сбора разведданных.

При запуске файла извлекается множество дополнительных файлов, в том числе ранее упомянутый фейковый документ ЕС, вредоносный загрузчик DLL, зашифрованный вариант PlugX и файл .EXE с цифровой подписью.

Китайские хакеры взялись за российских чиновников

Загрузчик DLL выполняет перехват порядка поиска DLL, используя легальный файл (от британской Global Graphics Software Ltd), который уязвим для этого метода. Метод, типичный для Mustang Panda, используется для запуска вредоносного ПО PlugX.

Этот подход позволяет злоумышленникам загружать свой вредоносный загрузчик DLL DocConvDll.dll скрытно, что не приводит к запуску антивируса.

Загрузчик DLL экспортирует восемь функций, но только одна из них содержит соответствующие инструкции. По-видимому, это сделано для того, чтобы избежать автоматического анализа.

Китайские хакеры взялись за российских чиновников

Функция createSystemFontsUsingEDL загружает, расшифровывает и выполняет файл FontLog.dat, который является полезной нагрузкой PlugX.

Важно:  Украина спасла Европу, Среднюю Азию и Кавказ от установления российского господства

Хотя образец PlugX, проанализированный Secureworks, был поврежден, его код указывает на неопубликованную загрузку DLL и запуск вредоносного ПО из вновь созданного каталога «C:\ProgramData\Fuji Xerox\Fonts\».

Промежуточный сервер, использованный в этой кампании, тот же, что и для поддержки кампании дипломатов ЕС , на котором также размещен домен zyber-i[.]com, задействованный в этой операции.

Стоит отметить, что PlugX использовался таким количеством злоумышленников, что атрибуция на основе этой вредоносной программы невозможна.

Однако Secureworks связала эту кампанию с Bronze President/Mustang Panda на основе используемой инфраструктуры, которая в прошлом приписывалась этому конкретному действующему игроку.

Хотя Mustang Panda продолжает использовать те же версии вредоносного ПО и инструменты загрузки, и даже несмотря на то, что части его инфраструктуры пересекаются с прошлыми кампаниями, злоумышленник остается относительно незаметным и мощным.

Похоже, что его внимание сосредоточено на обновлении приманок для целевого фишинга и создании специализированных сообщений электронной почты для очень узких целевых операций, поэтому сбор разведывательных данных постоянно меняется.

Как писала Planeta, утром 24 февраля войска Российской Федерации по приказу Владимира Путина начали новое вторжение в Украину сразу по нескольким направлением. Однако блицкриг не состоялся и ВСУ удалось сдержать и отбросить противника, уничтожив с начала наступления около 24,5 тыс. личного состава, 1077 танков, 2610 бронемашин, 491 артиллерийская система, 81 средств ПВО, 163 РСЗО, 303 БПЛА, 10 кораблей, 194 военных самолета и 155 вертолетов, 1867 военных автомобилей и автоцистерн, 38 единиц спецтехники, 87 крылатых ракеты.

В итоге российские войска приступили к бомбардировке и обстрелам жилых кварталов с целью посеять панику и запугать украинцев.

В ответ на вторжение России в Украину Европа, Северная Америка, Тихооокеанские страны ввели в отношении Москвы самые масштабные и жесткие санкции в истории.

Важно:  Шольц созвонился с Путиным. Говорили о «нацизме» в Украине
Planeta
Поделитесь.

Оставьте комментарий

WP2Social Auto Publish Powered By : XYZScripts.com