Китайские хакеры атакуют российских чиновников

Китайские хакеры атакуют российских чиновников

Хакеры рассылают письма с вредоносным файлом «Благовещенск - Благовещенский пограничный отряд.exe», замаскированным под PDF-документ.

Финансируемая правительством Китая киберпреступная группировка, атаковавшая европейские дипломатические миссии в марте нынешнего года, теперь переключилась на российских чиновников. В своих атаках хакеры используют обновленную версию трояна для удаленного доступа PlugX.

По данным специалистов ИБ-компании Secureworks, за атаками стоит киберпреступная группировка, отслеживаемая ими как Bronze President. Мировому ИБ-сообществу она известна под названиями Mustang Panda, TA416, HoneyMyte, RedDelta и PKPLUG.

Bronze President активна как минимум с июля 2018 года и специализируется на шпионаже с использованием как кастомных, так и общедоступных инструментов для взлома, обеспечения продолжительного доступа к скомпрометированным системам и сбора данных.

Одним из главных инструментов группировки является PlugX – бэкдор для Windows, позволяющий хакерам выполнять на скомпрометированных системах различные команды. PlugX также входит в арсенал еще нескольких работающих на Китай хакерских группировок.

В ходе атак на российских чиновников Bronze President рассылает им фишинговые письма с вредоносным исполняемым файлом «Благовещенск - Благовещенский пограничный отряд.exe», замаскированным под PDF-документ. Этот документ написан на английском языке и выглядит весьма убедительно, но после его открытия в конечном итоге на систему жертвы с удаленного сервера загружается PlugX.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!