Китайские хакеры возобновили шпионаж за Ватиканом

Китайские хакеры возобновили шпионаж за Ватиканом

Преступники обновили свой арсенал, который включает использование нового варианта загрузчика трояна для удаленного доступа PlugX.

image

Китайская киберпреступная группировка Mustang Panda (также известная как TA416 и RedDelta) возобновила операции по кибершпионажу за Ватиканом. Преступники приостановили вредоносную кампанию в июле нынешнего года после публикации отчета Recorded Future, однако теперь вернулись с обновленным арсеналом хакерских инструментов.

Группировка известна своими атаками на организации, связанные с дипломатическими отношениями между Ватиканом и Коммунистической партией Китая, а также на организации в Мьянме. Новая вредоносная кампания, похоже, является продолжением данной деятельности, полагают эксперты из Proofpoint.

Изменения в арсенале преступников включают использование нового варианта загрузчика трояна для удаленного доступа PlugX, написанного на языке Golang.

Злоумышленники используют фишинговые приманки, демонстрируя нацеленность на отношения между Ватиканом и Коммунистической партией Китая, а также поддельные электронные письма, якобы отправленные от журналистов из Союза католических новостей Азии. В рамках атак хакеры использовали RAR-архивы в качестве загрузчиков PlugX, но вектор доставки данных архивов еще не определен. Однако известно, что группировка использует URL-адреса Google Диска и Dropbox в фишинговых письмах.

RAR-архивы, используемые в кампании, включают зашифрованную полезную нагрузку PlugX, легитимный исполняемый файл Adobe для «боковой загрузки» и двоичный файл на языке Golang для расшифровки и загрузки вредоносов.

Согласно Proofpoint, злоумышленники впервые использовали двоичный код Golang в своих атаках. Несмотря на то, что он имеет новый тип файла, загрузчик PlugX не изменил свою функциональность — он выполняет PlugX, а также обеспечивает его персистентность на системе.

IP-адрес C&C-сервера размещался у китайского интернет-провайдера Anchnet Asia Limited и использовался по крайней мере с 24 августа по 28 сентября 2020 г. Поскольку IP-адрес больше не используется, предполагается, что злоумышленники работают над изменением своей инфраструктуры.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.