Было обнаружено, что спонсируемый китайским государством злоумышленник Mustang Panda (также известный как LuminousMoth, Camaro Dragon, HoneyMyte и другие) запускает кампании по вредоносному ПО против важных целей, включая правительственные учреждения в Азии.
Группа использовала вариант червя HIUPAN для доставки вредоносного ПО PUBLOAD в сети своих целей через съемные устройства хранения данных. Червь HIUPAN переместил все свои файлы в скрытый каталог, чтобы замаскировать свое присутствие, оставив видимым только один, казалось бы, законный файл («USBConfig.exe»), чтобы обмануть пользователя.
Инструмент PUBLOAD использовался в качестве основного средства управления кампанией по утечке и отправке данных на удаленный сервер злоумышленника. PTSOCKET широко использовался в качестве альтернативного инструмента извлечения данных.
Известная история
А Исследование TrendMicro описывает прогресс Mustang Panda в развертывании вредоносного ПО, особенно нацеленного на военные, правительственные и образовательные учреждения в Азиатско-Тихоокеанском регионе.
Это представляет собой отличие от недавних отчетов, в которых организация с вариантами WispRider для выполнения аналогичных методов загрузки неопубликованных DLL через USB-накопители. Сообщается, что предыдущая кампания заразила устройства по всему миру, в том числе в Великобритании, России и Индии.
Группа также была связана с целевой фишинговой кампанией в июне этого года, которая продемонстрировала ее способность использовать облачные сервисы Microsoft и развертывать многоэтапные загрузчики. Группа остается очень активной в киберпространстве и, вероятно, продолжит делать это в обозримом будущем.
Это одно из многих недавних нападений, предположительно спонсируемых китайским государством, с кампаниями против ряда целейвключая российские правительственные устройства, скомпрометированные в результате фишинговых атак.
Больше от TechRadar Pro
