Рост киберугроз: Mustang Panda атакует Королевскую полицию Таиланда
Источник: www.cadosecurity.com
Cado Security Labs выявила целенаправленную вредоносную кампанию, нацеленную на Королевскую полицию Таиланда, которую связывают с китайской APT-группой, известной как Mustang Panda. Эта операция использует тактику фишинга, прибегая к казалось бы законным документам, содержащим контент, связанный с ФБР.
Механизм атаки
Вектор атаки начинается с архива «FBI.rar», который, вероятно, был отправлен по электронной почте. Внутри находится файл быстрого доступа, замаскированный под PDF-документ и папку с именем $Recycle.bin.
Этот ярлык скрывает свои вредоносные намерения, запуская программу Yokai backdoor после удаления, чтобы скрыть следы заражения. Вредоносное ПО, помеченное как PrnInstallerNew.exe, представляет собой троянскую версию установщика драйверов PDF-XChange.
Технологии обмана
Вредоносная программа использует сложные методы обхода для избегания обнаружения. Вот некоторые из них:
- Динамическое разрешение вызовов API с помощью функции GetProcAddress(), что позволяет обойти стандартные меры безопасности.
- Создание имен вредоносных модулей во время выполнения, что затрудняет их обнаружение стандартными средствами.
- Извлечение адресов функциональной памяти, не отображая их в таблице импорта.
Чтобы обеспечить устойчивость, вредоносное ПО регистрирует себя как команду запуска в реестре Windows, что гарантирует запуск при входе пользователя в систему.
Цели и география
После заражения система подключается к IP-адресу 154.90.47.77 через TCP-порт 443, используя функцию connect() для определения географического местоположения жертвы. Согласно информации от Netskope, вредоносная программа действует исключительно на территории Таиланда, что связано с предыдущими кампаниями, направленными против тайских чиновников.
Геополитическая угроза
Текущая кампания против Королевской полиции является частью более широкой стратегии, направленной на правительственные структуры Таиланда, что обусловлено геополитическими и экономическими интересами в регионе.
“Мустанг Панда” активно действует с 2014 года и постоянно нацелена на правительственные учреждения и неправительственные организации в Азии, Европе и США с целью шпионажа. Предыдущие операции группы также использовали аналогичные приманки, такие как документы и файлы быстрого доступа.
Сравнение со старыми методами
Хотя в данной кампании не использовались дополнительные библиотеки DLL, в предыдущих атаках с использованием самораспространяющегося вредоносного ПО USB под названием WispRider были обнаружены совпадения в коде, что указывает на последовательные модели поведения группы при различных векторах атак.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
