СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
17.04.2025
#Dev#ИБ#Инфра#Облака

Mustang Panda: Новые угрозы в мире клавиатурных шпионов

Mustang Panda: Новые угрозы в мире клавиатурных шпионов

Источник: www.zscaler.com

Компания Mustang Panda, известная своими талантами в области кибершпионажа, разработала ряд новых инструментов, которые значительно усиливают её возможности в целевых атаках. В центре внимания новых инструментов находятся клавиатурные шпионы и методы обхода систем обнаружения.

Новые инструменты шпионажа

Среди недавних разработок компании можно выделить несколько ключевых программ:

  • PAKLOG: Этот кейлоггер фиксирует нажатия клавиш и данные из буфера обмена, используя пользовательскую схему кодирования для маскировки этих данных. PAKLOG поддерживает постоянство, создавая системные службы или запланированные задачи.
  • CorKLOG: Аналогичным образом собирает данные о нажатиях клавиш, но использует более строгие меры безопасности, такие как 48-символьное шифрование RC4.
  • SplatCloak: Это средство обхода EDR, предназначенное для отключения уведомлений о безопасности, связанных с защитником Windows и Kaspersky.

Методы работы инструментов

Инструменты Mustang Panda разработаны с акцентом на скрытность и стойкость. Вот ключевые детали их работы:

  • PAKLOG упакован в архивы RAR, поставляется с допустимым двоичным файлом и активируется через PACLOUD.exe, что позволяет скрыть его истинное назначение.
  • CorKLOG использует не только шифрование, но и обеспечивает хранение данных путем создания службы с правами администратора или настройки запланированных задач.
  • SplatCloak устанавливается с помощью SplatDropper, который запускает легитимный двоичный файл для загрузки вредоносной библиотеки и использует методы, такие как разрешение API с помощью хэша и вызовы функций на уровне ядра для поиска уязвимостей в системе.

Стратегия и развитие

Анализ показывает, что Mustang Panda использует уровни обфускации для маскировки своей активности и цельной стратегии повышения стойкости и снижения обнаруживаемости. Примечательно, что отсутствие прямого подключения к серверу управления говорит о том, что компания в значительной степени полагается на ручные операции во время вторжений.

В целом, действия Mustang Panda демонстрируют методично развивающийся ландшафт угроз, характеризующийся постоянными инновациями и взаимосвязанными мерами обеспечения безопасности, что требует от специалистов в области кибербезопасности повышения уровня осведомленности и готовности к новым вызовам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: