Mustang Panda 2025: эволюция угрозы через DLL-фишинг и уклонение

Кибершпионская группа Mustang Panda сохраняет высокий уровень угрозы в 2025 году

Связанная с Китаем группа кибершпионажа Mustang Panda продолжает представлять серьезную угрозу для правительственных, военных и неправительственных организаций. Основное внимание злоумышленников сосредоточено на Европе и Восточной Азии, с особым акцентом на Мьянму. Их атаки характеризуются высокой степенью изощренности и используют сложные методы для обхода систем безопасности.

Методы атак и распространения

Основным методом инфицирования у Mustang Panda являются многоэтапные фишинговые кампании с использованием, казалось бы, официальных документов. Эти документы инициируют процесс дополнительной загрузки вредоносных библиотек DLL, что позволяет группе незаметно проникать в систему жертвы и закрепляться в ней.

• Использование вредоносной программы Lightpipe, которая основана на легитимном подписанном двоичном файле chrome_elf.dll.
• Переименование и копирование DLL в каталог ProgramData с последующей сохраняемостью через планировщик задач (schtasks.exe).
• Внесение изменений в системный реестр для усиления устойчивости вредоносного ПО к удалению.
• Интеграция драйвера SplatCloak, нацеленного на отключение решений Endpoint Detection and Response (EDR).

Технологии уклонения и сохранения присутствия

Недавние усовершенствования в арсенале группы включают обновления бэкдора TONESHELL и внедрение новых инструментов для бокового перемещения внутри сети и кейлоггинга. Вредоносное ПО использует комбинированные методы защиты от отладки и выделения памяти, что свидетельствует о его высокой адаптивности к современным средствам обнаружения.

Особенно примечательной является способность вредоносного файла chrome_elf.dll выключать компьютер жертвы сразу после запуска, что эффективно уничтожает все запущенные процессы и препятствует анализу атаки.

Инфраструктура и технические особенности

Анализ инфраструктуры Mustang Panda выявил активные вредоносные IP-адреса и связанные с ними образцы с различными методами выполнения атак. В некоторых случаях вредоносное ПО полагается исключительно на устойчивость, обеспечиваемую модификациями реестра.

Для хранения и транспортировки вредоносных файлов злоумышленники используют облачные хранилища, такие как Google Drive, что усложняет их блокировку и обнаружение традиционными средствами.

Рекомендации по защите

Данная угроза подчеркивает необходимость повышенной бдительности и применения комплексных стратегий защиты:

• Внедрение современных решений Endpoint Detection and Response (EDR) с поддержкой детекции схем дополнительной загрузки DLL.
• Использование инструментов, таких как DLLHound, для выявления отсутствующих библиотек DLL, которые могут указывать на присутствие вредоносного ПО.
• Обучение сотрудников организации распознавать фишинговые письма и избегать открытия подозрительных документов.
• Регулярный мониторинг активности в реестре и планировщике задач для обнаружения аномальных изменений.

Заключение

Продолжающаяся эволюция киберопераций Mustang Panda демонстрирует, насколько опасным и изощренным стал современный кибершпионаж. Организации, работающие в сферах госуправления, обороны и НПО, должны учитывать этот фактор и своевременно обновлять свои методы защиты для минимизации рисков кражи данных и проникновения злоумышленников.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.