Исследователи из компании Secureworks обнаружили фишинговую кампанию, нацеленную на российских чиновников или военных. По данным экспертов, за атаками стоят китайские «правительственные» хакеры из группы Mustang Panda (она же HoneyMyte, Bronze President, RedDelta и TA416), обычно занимающиеся кибершпионажем.
Эта хак-группа активна как минимум с июля 2018 года, и чаще всего ее атаки нацелены на различные регионы Юго-Восточной Азии, хотя порой хакеры также интересуются целями из стран Европы и США.
Secureworks сообщает, что на этот раз Mustang Panda демонстрирует необычное для себя поведение, так как теперь злоумышленники, по всей видимости, сосредоточились на российских военнослужащих и чиновниках, работающих недалеко от границы с Китаем. В своих фишинговых приманках хакеры эксплуатируют тему «спецоперации» в Украине: вредоносные документы написаны на английском языке и маскируются под опубликованные ЕС данные о санкциях против Беларуси.
Такие приманки представляют собой исполняемые файлы .exe, но маскируются под документы в формате PDF и названы по-русски — «Благовещенск - Благовещенск пограничный отряд». Встает вопрос, почему названный по-русски документ содержит текст на английском, но логика хакеров в этом вопросе так и осталась для исследователей загадкой. Специалисты Secureworks пришли лишь к одному четкому выводу: целью этой кампании являются российские чиновники или военные в приграничном регионе.
«[Спецоперация] в Украине побудила многие страны задействовать свои кибервозможности, чтобы получить представление о глобальных событиях, политических манипуляциях и мотивах сторон, — пишут исследователи. — Это стремление к осведомленности о ситуации часто распространяется и на сбор разведывательных данных у союзников и “друзей”».
При запуске исполняемого файла извлекается множество дополнительных файлов, в том числе сам документ-приманка, которой можно видеть на скриншоте выше, вредоносный загрузчик DLL, зашифрованный вариант малвари PlugX (aka Korplug) и еще один файл .exe.
PlugX является основным инструментом хакеров и представляет собой троян удаленного доступа для Windows, который позволяет выполнять различные команды в зараженных системах, воровать файлы, устанавливать бэкдоры и дополнительные вредоносные пейлоды. На эту малварь уже много лет полагаются сразу несколько китайских хак-групп.
Нужно отметить, что результаты исследования Secureworks дополняют отчеты компаний Proofpoint и ESET, вышедшие в прошлом месяце. В них детально описывалось использование нового варианта PlugX под кодовым названием Hodur, названного так из-за сходства с с другим вариантом, носящим название THOR.
«Атаки на русскоязычных пользователей и европейские организации предполагают, что злоумышленники получили обновленные задачи, которые отражают постоянно меняющиеся требования КНР к сбору разведанных», — резюмируют эксперты Secureworks.
