Сразу две преступные группировки плотно взялись за азиатские страны с целью кибершпионажа.
В последнее время две APT-группировки, связанные с Китаем, активно атакуют объекты и страны, имеющие отношения к Ассоциации государств Юго-Восточной Азии (ASEAN). Они действуют в рамках кампании кибершпионажа, которая длится уже не меньше трёх месяцев. Одна из группировок, известная как Mustang Panda, была замечена в кибератаках против Мьянмы и других азиатских стран, используя вредоносное ПО PlugX, получившее название DOPLUGS.
Mustang Panda, также отслеживаемая под такими названиями, как Camaro Dragon, Earth Preta и Stately Taurus, — направляла фишинговые письма для распространения вредоносных программ в Мьянме, Филиппинах, Японии и Сингапуре. Эти действия совпали с проведением Специального саммита ASEAN-Австралия, что указывает на целенаправленность данных атак.
Аналитики Palo Alto Networks сообщили о двух типах распространяемого вредоносного ПО. Первое — это ZIP-файл, содержащий исполняемый файл «Talking_Points_for_China.exe», который при запуске подгружает вредоносную библиотеку «KeyScramblerIE.dll», в конечном итоге активируя вирус PUBLOAD, часто используемый хакерами Mustang Panda.
Второе вредоносное ПО — это файл «Note PSO.scr», который извлекает зловредный код из удалённого адреса, в том числе программу с заверенной подписью одной из крупных компаний-производителей видеоигр, замаскированную под «WindowsUpdate.exe».
Кроме того, был обнаружен сетевой трафик между объектом, связанным с ASEAN, и инфраструктурой управления второй китайской группировки APT, указывая на возможное проникновение в систему. Эта группировка, также атаковавшая Камбоджу, пока остаётся необозначенной со стороны исследователей.
Китайские киберпреступники в последнее время действуют как никогда активно и изощрённо. Так, отдельное внимание привлекает новый китайский актор киберугроз под названием Earth Krahang, недавно атаковавший 116 объектов в 45 странах. В своих атаках группировка использовала целевой фишинг и уязвимости в серверах Openfire и Oracle для доставки специализированного вредоносного ПО, такого как PlugX, ShadowPad, ReShell и DinodasRAT.
Активность этой группировки демонстрирует сильную ориентацию на Юго-Восточную Азию и перекрёстное взаимодействие с другим актором, известным как Earth Lusca, оба из которых могут управляться одним и тем же лицом, связанным с китайским государственным подрядчиком I-Soon.
Спойлер: она начинается с подписки на наш канал