Mustang Panda атакует Индию через Zoho WorkDrive
Mustang Panda, связанная с государством хакерская группа, ведет сразу две кампании кибершпионажа против правительственных структур и энергетического сектора Индии. Основной фокус атак — гидроэнергетическая отрасль и организации, связанные с партнерствами с Тайванем. Для реализации операций злоумышленники используют легитимную облачную платформу Zoho WorkDrive, а также новый набор вредоносного ПО, включающий SHARDLOADER, ZOHOMURK и MINIRECON.
Исследователи отмечают, что кампания демонстрирует высокий уровень технической сложности. Вредоносная инфраструктура строится так, чтобы маскироваться под обычную активность корпоративных систем и при этом обеспечивать устойчивое управление зараженными устройствами.
SHARDLOADER: загрузчик с использованием DLL hijacking
SHARDLOADER представляет собой загрузчик на основе DLL, который применяет техники DLL hijacking и DLL side-loading для развертывания вредоносных модулей ZOHOMURK и MINIRECON. В вариантах SHARDLOADER v1.0 и v1.1 используется цепочка выполнения, в которой задействуются легитимные приложения, включая Solid PDF Creator.
Схема атаки построена так, что вредоносная DLL запускается при старте приложения, а само легитимное ПО продолжает работать без заметных сбоев. Такой подход позволяет злоумышленнику получить контроль над процессом, не привлекая внимания пользователя.
- создание скрытых директорий для обеспечения закрепления;
- манипулирование функциями операционной системы для сокрытия вредоносной активности;
- использование легитимных программ как прикрытия для запуска вредоносного кода.
ZOHOMURK и MINIRECON: управление, эксфильтрация и скрытая связь
ZOHOMURK используется как implant для управления и C2, опираясь на Zoho WorkDrive для эксфильтрации данных и выполнения удаленных команд. Его основная экспортируемая функция отвечает за все операции, необходимые для работы импланта, и поддерживает устойчивый цикл связи с командной инфраструктурой.
Отдельное внимание заслуживают встроенные техники противодействия анализу. ZOHOMURK создает уникальные идентификаторы жертв на основе атрибутов системы, что помогает ему маскироваться в корпоративной среде и усложняет выявление повторяющихся заражений.
MINIRECON обеспечивает коммуникацию через WebSocket, защищенный самоподписанными сертификатами. Это позволяет организовать скрытую систему управления без использования традиционных механизмов передачи трафика, которые легче обнаруживаются средствами сетевой защиты.
Campaign II: другой способ доставки и закрепления
Во второй кампании, обозначенной как Campaign II, был обнаружен другой вариант SHARDLOADER, распространявшийся через ZIP-архив сходной структуры. Этот вариант использует механизм dropper для извлечения и развертывания дополнительных файлов, включая модифицированную версию Citrix Receiver.
Именно через нее злоумышленники внедряют ZOHOMURK. При этом механизм закрепления заметно отличается от первого сценария: вместо скрытых директорий применяется Windows Task Scheduler, который используется для запуска задач, обеспечивающих выживание импланта после перезагрузки системы.
Признаки общего происхождения и геополитический контекст
Обе цепочки заражения демонстрируют тесную интеграцию с существующими семействами ВПО и отражают устойчивый тренд, при котором злоумышленники злоупотребляют легитимными сервисами в корыстных целях. В данном случае Zoho WorkDrive используется не как обычный облачный инструмент, а как канал управления и передачи данных.
По мнению исследователей, Mustang Panda регулярно ориентируется на геополитические события в рамках своей оперативной стратегии, что указывает на соответствие ее активности интересам Китая. В пользу общего происхождения кампаний говорят и технические маркеры:
- захардкоженные учетные данные OAuth;
- скрытые атрибуты внутри ВПО;
- повторяющиеся опечатки в коде;
- схожие практики разработки и кодирования.
Что рекомендуют специалистам
На фоне усложнения подобных операций организациям в государственном и энергетическом секторах рекомендуется сохранять повышенную бдительность. Особое внимание следует уделять целевому фишингу, в котором могут использоваться геополитические темы, а также мониторингу злоупотребления облачными сервисами в операциях управления.
«Использование легитимных платформ для C2 и эксфильтрации данных показывает, что современные кампании все чаще маскируются под обычную корпоративную активность», — следует из анализа тактик группы.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



