ASEAN – главная цель китайских хакеров на протяжении последних трёх месяцев

В последнее время две APT-группировки, связанные с Китаем, активно атакуют объекты и страны, имеющие отношения к Ассоциации государств Юго-Восточной Азии (ASEAN). Они действуют в рамках кампании кибершпионажа, которая длится уже не меньше трёх месяцев. Одна из группировок, известная как Mustang Panda, была замечена в кибератаках против Мьянмы и других азиатских стран, используя вредоносное ПО PlugX, получившее название DOPLUGS.

Mustang Panda, также отслеживаемая под такими названиями, как Camaro Dragon, Earth Preta и Stately Taurus, — направляла фишинговые письма для распространения вредоносных программ в Мьянме, Филиппинах, Японии и Сингапуре. Эти действия совпали с проведением Специального саммита ASEAN-Австралия, что указывает на целенаправленность данных атак.

Аналитики Palo Alto Networks сообщили о двух типах распространяемого вредоносного ПО. Первое — это ZIP-файл, содержащий исполняемый файл «Talking_Points_for_China.exe», который при запуске подгружает вредоносную библиотеку «KeyScramblerIE.dll», в конечном итоге активируя вирус PUBLOAD, часто используемый хакерами Mustang Panda.

Второе вредоносное ПО — это файл «Note PSO.scr», который извлекает зловредный код из удалённого адреса, в том числе программу с заверенной подписью одной из крупных компаний-производителей видеоигр, замаскированную под «WindowsUpdate.exe».

Кроме того, был обнаружен сетевой трафик между объектом, связанным с ASEAN, и инфраструктурой управления второй китайской группировки APT, указывая на возможное проникновение в систему. Эта группировка, также атаковавшая Камбоджу, пока остаётся необозначенной со стороны исследователей.

Китайские киберпреступники в последнее время действуют как никогда активно и изощрённо. Так, отдельное внимание привлекает новый китайский актор киберугроз под названием Earth Krahang, недавно атаковавший 116 объектов в 45 странах. В своих атаках группировка использовала целевой фишинг и уязвимости в серверах Openfire и Oracle для доставки специализированного вредоносного ПО, такого как PlugX, ShadowPad, ReShell и DinodasRAT.

Активность этой группировки демонстрирует сильную ориентацию на Юго-Восточную Азию и перекрёстное взаимодействие с другим актором, известным как Earth Lusca, оба из которых могут управляться одним и тем же лицом, связанным с китайским государственным подрядчиком I-Soon.