Для распространения PlugX вновь используется социальная инженерия и вредоносные ярлыки.
В 2019 году китайская хакерская группировка Mustang Panda нацелилась на правительственные и общественные организации в Азии и Европе. Киберпреступники проводили долгосрочные кампании кибершпионажа в соответствии со стратегическими интересами правительства Китая.
До ноября 2022 года группировка использовала в своих атаках вредоносные архивные файлы, однако теперь применяет другой метод. Согласно отчёту компании EclecticIQ, в настоящее время Mustang Panda активно использует файлы оптических дисков «.iso», содержащие вредоносные файлы-ярлыки «.lnk». Ярлыки замаскированы под документы Microsoft Office Word, поэтому беглым взглядом понять неладное жертвам атаки не всегда удаётся.
Вредоносный файл-ярлык, скачивающий полезную нагрузку PlugX
Не обошлось тут и без социальной инженерии. Файл, который распространяют хакеры из Mustang Panda называется «Письмо в Европейскую Комиссию об ограничении цен на российскую нефть». А в параметрах запуска прописана команда: «C:\Windows\System32\cmd.exe /q /c "System Volume Information\ \test2022.ucp"».
«test2022.ucp» в этой команде — это переименованное легитимное программное обеспечение, которое изначально называется «LMIGuardianSvc.exe», часть некогда популярной в СНГ программы LogMeIn Hamachi для создания локальных мостов между компьютерами. Исполняемый файл «LMIGuardianSvc.exe» используется злоумышленниками для взлома DLL и скачивания на компьютер зашифрованного загрузчика PlugX под названием «LMIGuardianDll.dll». Затем он дешефруется в готовый для атаки вредонос «LMIGuardianDat.dat».
Процесс «распаковки» вируса PlugX
После успешного выполнения вредоносного ПО PlugX подключается к удаленному серверу C2, который используется для отправки команд на скомпрометированные системы и получения отфильтрованных данных из целевой сети. Таким образом злоумышленники могут удаленно выполнять различные команды в зараженной системе.
Общая схема атаки, по итогу, выглядит следующим образом:
Схема доставки и активации вредоноса на компьютер жертвы
Аналитики EclecticIQ считают, что целью конкретно этого документа-приманки была европейская организация. Группировка Mustang Panda и ранее атаковала европейские организации примерно тем же путём. Сейчас группировка остаётся активной угрозой для всей Европы и Азии. По мнению специалистов из EclecticIQ, Mustang Panda в будущем ещё больше увеличит свою активность и продолжит использовать схожие методы атак в ответ на геополитические события в мире.
Собираем и анализируем опыт профессионалов ИБ