- Регистрация
- 26.10.16
- Сообщения
- 2,237
- Онлайн
- 36д 21ч 57м
- Сделки
- 251
- Нарушения
- 0 / 0
По данным Trend Micro, Mustang Panda (также известная как Bronze President, Earth Preta, HoneyMyte, и Red Lich) продолжает развивать свои методы избегания обнаружения и развертывания специализированного вредоносного ПО.
Mustang Panda с помощью поддельных аккаунтов Google распространяла вредоносное ПО через фишинговые электронные письма. ВПО хранится в файле архива (RAR/ZIP/JAR) и распространяется с помощью ссылок на Google Диск.
Хаеры получают первоначальный доступ с помощью документов-приманок, которые охватывают противоречивые геополитические темы, чтобы побудить целевые организации загрузить и запустить вредоносное ПО. В некоторых случаях фишинговые сообщения были отправлены с ранее скомпрометированных аккаунтов электронной почты, принадлежащих определенным организациям.
Архивы при открытии отображают документ-приманку для жертвы, а вредоносное ПО незаметно загружается в фоновом режиме с помощью метода DLL Side-Loading
Цепочки атак в конечном итоге устанавливают 3 семейства ранее неизвестных вредоносных программ, PUBLOAD, TONEINS и TONESHELL, которые способны загружать полезную нагрузку следующего этапа и оставаться незамеченными. TONESHELL, основной бэкдор, устанавливается через TONEINS и представляет собой загрузчик шелл-кода;
Кибершпионская группировка Earth Preta разрабатывает собственные загрузчики в сочетании с существующими инструментами PlugX и Cobalt Strike. Украденные конфиденциальные документы жертв могут быть использованы как первоначальные векторы для следующих вторжений. Эта стратегия значительно расширяет масштабы поражения в регионе.
