Мы вскрываем схемы, пока их прячут
Image

Мы вскрываем схемы, пока их прячут

Подпишись на нас и смотри, как ломают системы и как это чинят, пока остальные делают вид, что все ок.

«Только не путайте нас с русскими». Китайские хакеры решили уточнить свою национальность прямо внутри вируса

leer en español

Acronis Mustang Panda LOTUSLITE DLL-загрузка США Китай Венесуэла шпионаж
«Только не путайте нас с русскими». Китайские хакеры решили уточнить свою национальность прямо внутри вируса
Acronis Mustang Panda LOTUSLITE DLL-загрузка США Китай Венесуэла шпионаж

Тема международной ситуации в Венесуэле послужила идеальной ширмой для атак.

image

Целевая кампания по кибершпионажу, направленная против правительственных структур США, была выявлена специалистами подразделения Acronis Threat Research Unit. Вредоносная активность осуществлялась с использованием архива в формате ZIP, содержащего исполняемый файл и скрытую библиотеку DLL. Распаковка архива инициировала выполнение DLL, которая функционировала как основной удалённый доступ под названием LOTUSLITE.

Распространение вредоносного инструмента происходило через файл с политическим названием, связанным с ситуацией в Венесуэле. Это совпадает с привычной для китайской кибергруппы Mustang Panda тактикой, ориентированной на актуальные международные повестки. Заражение начиналось с запуска подменённого исполняемого файла, маскирующегося под легитимное программное обеспечение, что приводило к незаметной загрузке вредоносной библиотеки.

Загруженный компонент представлял собой нестандартную DLL, предназначенную для сбора информации, организации постоянного присутствия в системе и выполнения команд злоумышленников. Программа поддерживает выполнение системных команд, создание и удаление файлов, а также формирует сетевые пакеты с использованием уникального идентификатора. При этом передача данных осуществлялась через HTTP-запросы с поддельными заголовками, имитирующими трафик от легитимных сервисов.

Компонент сохранял устойчивость на заражённом устройстве, создавая отдельный каталог и внося запись в реестр для автозапуска при входе пользователя в систему. Имя исполняемого файла и параметры запуска были изменены для маскировки под безвредное программное обеспечение.

Во время анализа вредоносной библиотеки специалисты обнаружили встроенные сообщения, оставленные разработчиком. В одном из них автор подчёркивал, что не имеет отношения к России, используя фразу в духе «я не русский». В другом сообщении, напротив, подчёркивалась китайская идентичность. Подобные провокационные вставки уже встречались в прошлых кампаниях Mustang Panda.

Коммуникация с командным сервером осуществлялась через IP-адрес, привязанный к американскому провайдеру, предоставляющему услуги динамического DNS. Устройства заражённых систем обращались к этому серверу через зашифрованный HTTPS-трафик, что затрудняло выявление угрозы на уровне сетевого мониторинга.

По совокупности поведенческих признаков, методов доставки, структуры компонентов и сопутствующей инфраструктуры, специалисты связывают эту активность с Mustang Panda. Ранее группа уже применяла аналогичные подходы, включая DLL-загрузку через легитимные программы, использование политически окрашенных тем и повторное использование элементов инфраструктуры. Несмотря на скромный технический уровень внедрённого кода, методика обеспечивает высокую надёжность исполнения и точечное поражение целей.

Кампания остаётся ограниченной по масштабу, но нацелена исключительно на структуры, связанные с политикой и управлением в США. Это делает её потенциально значимой с точки зрения стратегических рисков. Вредоносная активность была успешно выявлена и заблокирована средствами защиты Acronis.