Китайская государственная киберпреступная группировка Mustang Panda (также известная как LuminousMoth, Camaro Dragon, HoneyMyte и другие) была замечена в запуске вредоносных кампаний против важных целей, включая правительственные учреждения в Азии.
Группа использовала вариант червя HIUPAN для доставки вредоносного ПО PUBLOAD в сети своих целей через съемные диски. Червь HIUPAN переместил все свои файлы в скрытый каталог, чтобы скрыть свое присутствие, и оставил видимым только один, казалось бы, легитимный файл («USBConfig.exe»), чтобы обмануть пользователя.
Инструмент PUBLOAD использовался в качестве основного средства управления кампанией, использовался для извлечения данных и отправки их на удаленный сервер злоумышленника. PTSOCKET часто использовался в качестве альтернативного инструмента извлечения данных.
Знакомая история.
Ан расследование TrendMicro описывает прогресс в развертывании вредоносного ПО Mustang Panda, особенно в его использовании против военных, правительственных и образовательных учреждений в регионе Азиатско-Тихоокеанского региона.
Это изменение по сравнению с недавними отчетами организации. с использованием вариантов WispRider для выполнения аналогичных методов загрузки DLL через USB-накопители. Сообщается, что предыдущая кампания заразила устройства по всему миру, в том числе в Великобритании, России и Индии.
Группа также была связана с фишинговой кампанией в июне этого года, продемонстрировав свои возможности в использовании облачных сервисов Microsoft и использовании многоступенчатых загрузчиков. Группа остается очень активной в киберпространстве и, похоже, продолжит свою деятельность в обозримом будущем.
Это одна из многих предполагаемых атак, спонсируемых китайским государством в последнее время, с кампаниями против ряда целейвключая российские правительственные устройства, взломанные фишинговыми атаками.
С помощью BleepingComputer