Mustang Panda: кто стоит за кибершпионажем против Мьянмы и стран Азии?

В ноябре 2023 года и январе 2024 года Министерство обороны и Министерство иностранных дел Мьянмы стали целью кибератак предположительно китайской хакерской группировки Mustang Panda. Об этом сообщила команда CSIRT-CTI после анализа артефактов, связанных с атаками, которые были загружены на платформу VirusTotal.

Главным методом хакеров стало использование легитимного ПО, включая разработанный инженерной фирмой Bernecker & Rainer (B&R) двоичный файл и компонент помощника по обновлению Windows 10 для загрузки вредоносных DLL-библиотек.

Mustang Panda (Stately Taurus, Camaro Dragon, Bronze President) активно действует с 2012 года. В последние месяцы группе приписывают атаки, нацеленные на правительства Юго-Восточной Азии и Филиппин с целью внедрения бэкдоров для сбора конфиденциальной информации.

Первая атака в ноябре 2023 года началась с фишингового электронного письма с вложением в виде ZIP-архива, содержащего легитимный исполняемый файл (Analysis of the third meeting of NDSC.exe), изначально подписанный B&R Industrial Automation GmbH, и файл DLL (BrMod104.dll).

Атака использует тот факт, что двоичный файл подвержен перехвату порядка поиска DLL (DLL Search Order Hijacking), чтобы загрузить вредоносную DLL и впоследствии установить постоянство и контакт с сервером управления и контроля (Command and Control, C2), а затем развернуть в системе бэкдор PUBLOAD, который, в свою очередь, действует как специальный загрузчик для доставки импланта PlugX .

Хакеры пытались маскировать трафик C2-сервера под трафик обновления Microsoft, добавляя заголовки «Host: www[.]asia[.]microsoft[.]com» и «User-Agent: Windows-Update-Agent».

Вторая январская атака использовала образ оптического диска (ASEAN Notes.iso), содержащий LNK-ярлыки для запуска многоэтапного процесса с использованием другого специализированного загрузчика TONESHELL для возможной установки PlugX с уже недоступного C2-сервера, как предположили специалисты.

После нападений повстанцев на севере Мьянмы в октябре 2023 года, Китай выразил озабоченность по поводу влияния этих событий на торговые пути и безопасность вдоль границы Мьянмы и Китая. Операции Stately Taurus известны тем, что совпадают с геополитическими интересами китайского правительства, включая многочисленные кампании шпионажа против Мьянмы.