В 2019 году китайская хакерская группировка Mustang Panda нацелилась на правительственные и общественные организации в Азии и Европе. Киберпреступники проводили долгосрочные кампании кибершпионажа в соответствии со стратегическими интересами правительства Китая.
До ноября 2022 года группировка использовала в своих атаках вредоносные архивные файлы, однако теперь применяет другой метод. Согласно отчёту компании EclecticIQ, в настоящее время Mustang Panda активно использует файлы оптических дисков “.iso”, содержащие вредоносные файлы-ярлыки “.lnk”. Ярлыки замаскированы под документы Microsoft Office Word, поэтому беглым взглядом понять неладное жертвам атаки не всегда удаётся.
Вредоносный файл-ярлык, скачивающий полезную нагрузку PlugX
Не обошлось тут и без социальной инженерии. Файл, который распространяют хакеры из Mustang Panda называется “Письмо в Европейскую Комиссию об ограничении цен на российскую нефть”. А в параметрах запуска прописана команда: “C:WindowsSystem32cmd.exe /q /c “System Volume Information test2022.ucp””.
“test2022.ucp” в этой команде – это переименованное легитимное программное обеспечение, которое изначально называется “LMIGuardianSvc.exe”, часть некогда популярной в СНГ программы LogMeIn Hamachi для создания локальных мостов между компьютерами. Исполняемый файл “LMIGuardianSvc.exe” используется злоумышленниками для взлома DLL и скачивания на компьютер зашифрованного загрузчика PlugX под названием “LMIGuardianDll.dll”. Затем он дешефруется в готовый для атаки вредонос “LMIGuardianDat.dat”.
Процесс “распаковки” вируса PlugX
После успешного выполнения вредоносного ПО PlugX подключается к удаленному серверу C2, который используется для отправки команд на скомпрометированные системы и получения отфильтрованных данных из целевой сети. Таким образом злоумышленники могут удаленно выполнять различные команды в зараженной системе.
Общая схема атаки, по итогу, выглядит следующим образом:
Схема доставки и активации вредоноса на компьютер жертвы
Аналитики EclecticIQ считают, что целью конкретно этого документа-приманки была европейская организация. Группировка Mustang Panda и ранее атаковала европейские организации примерно тем же путём. Сейчас группировка остаётся активной угрозой для всей Европы и Азии. По мнению специалистов из EclecticIQ, Mustang Panda в будущем ещё больше увеличит свою активность и продолжит использовать схожие методы атак в ответ на геополитические события в мире.