Обычный архив. Обычные файлы. Только теперь вас слушает Китай
NewsMakerХотели узнать про Далай-ламу? Получите вредонос в систему.
Китайская хакерская группировка Mustang Panda вновь оказалась в центре внимания после серии атак, направленных на тибетское сообщество. Об этом сообщили специалисты IBM X-Force, зафиксировавшие активную шпионскую кампанию, в ходе которой злоумышленники использовали тематику, связанную с Тибетом, чтобы заманивать жертв.
Среди тем, служивших приманкой, фигурировали события вроде 9-й Всемирной конференции парламентариев по Тибету, вопросы образовательной политики Китая в Тибетском автономном районе и недавно опубликованная книга Далай-ламы XIV. Маскируясь под безобидные документы, хакеры распространяли вредоносное программное обеспечение среди представителей тибетской общины.
Как уточнили в IBM, атаки начались в июне. В результате заражения на компьютеры жертв устанавливался вредонос под названием PUBLOAD , ранее уже связывавшийся с Mustang Panda . В рамках внутренних обозначений компании эта активность отслеживается под кодовым именем Hive0154.
Схема атаки была достаточно изощрённой. Жертве отправляли архив с материалами на тибетскую тему — это могли быть статьи с тибетских сайтов или фотографии с конференции WPCT. Вместе с ними в архиве находился исполняемый файл, замаскированный под документ. При его запуске происходила цепочка заражения, включающая классическую технику подмены динамических библиотек ( DLL Sideloading ).
Сначала запускался модуль Claimloader, предназначенный для установки PUBLOAD — вредоносного загрузчика, отвечающего за связь с удалённым сервером и загрузку следующего элемента атаки, называемого Pubshell. Последний представляет собой облегчённую версию известного инструмента TONESHELL и позволяет злоумышленникам получать удалённый доступ к системе через обратное подключение.
По словам специалистов, архитектура Pubshell практически повторяет функционал TONESHELL. Однако, если TONESHELL сразу возвращает результаты команд, то Pubshell требует дополнительного запроса, а взаимодействие с системой ограничивается стандартной командной оболочкой «cmd.exe». Исходя из этого, исследователи предполагают, что PUBLOAD и Pubshell являются менее сложной, упрощённой версией прежних инструментов группировки.
Отдельного упоминания заслуживает разница в терминологии. Если IBM подразделяет используемые компоненты на Claimloader и PUBLOAD, то, например, в Trend Micro оба модуля обозначаются как PUBLOAD, а компания TeamT5 и вовсе объединяет их под названием NoFive. Несмотря на разночтения, речь идёт о схожих по функциям элементах заражения.
Новая волна атак против тибетского сообщества разворачивается на фоне более масштабных операций Mustang Panda за пределами региона. Ранее подразделение Hive0154 атаковало государственные и дипломатические структуры в США, на Филиппинах, в Пакистане и на Тайване. Сценарий действий оставался неизменным: жертвам рассылались электронные письма со ссылками на файлы в Google Drive, которые после загрузки разворачивали заражённые ZIP- или RAR-архивы. В результате на компьютерах устанавливались уже известные инструменты TONESHELL или PUBLOAD.
Особенно выделяются атаки на Тайване, где злоумышленники применяли USB-червя HIUPAN (также известного как MISTCLOAK или U2DiskWatch). С его помощью заражение распространялось через флеш-накопители, что позволяло атаковать оффлайн-системы, включая те, что работают в изолированных сетях.
По мнению специалистов, Mustang Panda остаётся одной из наиболее активных и опасных группировок, связанных с Китаем. Хакеры демонстрируют высокий уровень подготовки, регулярно обновляют инструментарий и используют широкий арсенал вредоносных программ.
Их главной целью по-прежнему остаются организации из Восточной Азии, включая как государственные структуры, так и частный сектор. Использование USB-червей и постоянное совершенствование вредоносного кода подчёркивают серьёзность угрозы, исходящей от этой группировки.
Китайская хакерская группировка Mustang Panda вновь оказалась в центре внимания после серии атак, направленных на тибетское сообщество. Об этом сообщили специалисты IBM X-Force, зафиксировавшие активную шпионскую кампанию, в ходе которой злоумышленники использовали тематику, связанную с Тибетом, чтобы заманивать жертв.
Среди тем, служивших приманкой, фигурировали события вроде 9-й Всемирной конференции парламентариев по Тибету, вопросы образовательной политики Китая в Тибетском автономном районе и недавно опубликованная книга Далай-ламы XIV. Маскируясь под безобидные документы, хакеры распространяли вредоносное программное обеспечение среди представителей тибетской общины.
Как уточнили в IBM, атаки начались в июне. В результате заражения на компьютеры жертв устанавливался вредонос под названием PUBLOAD , ранее уже связывавшийся с Mustang Panda . В рамках внутренних обозначений компании эта активность отслеживается под кодовым именем Hive0154.
Схема атаки была достаточно изощрённой. Жертве отправляли архив с материалами на тибетскую тему — это могли быть статьи с тибетских сайтов или фотографии с конференции WPCT. Вместе с ними в архиве находился исполняемый файл, замаскированный под документ. При его запуске происходила цепочка заражения, включающая классическую технику подмены динамических библиотек ( DLL Sideloading ).
Сначала запускался модуль Claimloader, предназначенный для установки PUBLOAD — вредоносного загрузчика, отвечающего за связь с удалённым сервером и загрузку следующего элемента атаки, называемого Pubshell. Последний представляет собой облегчённую версию известного инструмента TONESHELL и позволяет злоумышленникам получать удалённый доступ к системе через обратное подключение.
По словам специалистов, архитектура Pubshell практически повторяет функционал TONESHELL. Однако, если TONESHELL сразу возвращает результаты команд, то Pubshell требует дополнительного запроса, а взаимодействие с системой ограничивается стандартной командной оболочкой «cmd.exe». Исходя из этого, исследователи предполагают, что PUBLOAD и Pubshell являются менее сложной, упрощённой версией прежних инструментов группировки.
Отдельного упоминания заслуживает разница в терминологии. Если IBM подразделяет используемые компоненты на Claimloader и PUBLOAD, то, например, в Trend Micro оба модуля обозначаются как PUBLOAD, а компания TeamT5 и вовсе объединяет их под названием NoFive. Несмотря на разночтения, речь идёт о схожих по функциям элементах заражения.
Новая волна атак против тибетского сообщества разворачивается на фоне более масштабных операций Mustang Panda за пределами региона. Ранее подразделение Hive0154 атаковало государственные и дипломатические структуры в США, на Филиппинах, в Пакистане и на Тайване. Сценарий действий оставался неизменным: жертвам рассылались электронные письма со ссылками на файлы в Google Drive, которые после загрузки разворачивали заражённые ZIP- или RAR-архивы. В результате на компьютерах устанавливались уже известные инструменты TONESHELL или PUBLOAD.
Особенно выделяются атаки на Тайване, где злоумышленники применяли USB-червя HIUPAN (также известного как MISTCLOAK или U2DiskWatch). С его помощью заражение распространялось через флеш-накопители, что позволяло атаковать оффлайн-системы, включая те, что работают в изолированных сетях.
По мнению специалистов, Mustang Panda остаётся одной из наиболее активных и опасных группировок, связанных с Китаем. Хакеры демонстрируют высокий уровень подготовки, регулярно обновляют инструментарий и используют широкий арсенал вредоносных программ.
Их главной целью по-прежнему остаются организации из Восточной Азии, включая как государственные структуры, так и частный сектор. Использование USB-червей и постоянное совершенствование вредоносного кода подчёркивают серьёзность угрозы, исходящей от этой группировки.