Китайские хакеры возобновили шпионаж за Ватиканом
25 ноября 2020 года
Китайская киберпреступная группировка Mustang Panda (также известная как TA416 и RedDelta) возобновила операции по кибершпионажу за Ватиканом. Преступники приостановили вредоносную кампанию в июле нынешнего года после публикации отчета Recorded Future, однако теперь вернулись с обновленным арсеналом хакерских инструментов.
Группировка известна своими атаками на организации, связанные с дипломатическими отношениями между Ватиканом и Коммунистической партией Китая, а также на организации в Мьянме. Новая вредоносная кампания, похоже, является продолжением данной деятельности, полагают эксперты из Proofpoint.
Изменения в арсенале преступников включают использование нового варианта загрузчика трояна для удаленного доступа PlugX, написанного на языке Golang.
Злоумышленники используют фишинговые приманки, демонстрируя нацеленность на отношения между Ватиканом и Коммунистической партией Китая, а также поддельные электронные письма, якобы отправленные от журналистов из Союза католических новостей Азии. В рамках атак хакеры использовали RAR-архивы в качестве загрузчиков PlugX, но вектор доставки данных архивов еще не определен. Однако известно, что группировка использует URL-адреса Google Диска и Dropbox в фишинговых письмах.
RAR-архивы, используемые в кампании, включают зашифрованную полезную нагрузку PlugX, легитимный исполняемый файл Adobe для «боковой загрузки» и двоичный файл на языке Golang для расшифровки и загрузки вредоносов.
Согласно Proofpoint, злоумышленники впервые использовали двоичный код Golang в своих атаках. Несмотря на то, что он имеет новый тип файла, загрузчик PlugX не изменил свою функциональность — он выполняет PlugX, а также обеспечивает его персистентность на системе.
IP-адрес C&C-сервера размещался у китайского интернет-провайдера Anchnet Asia Limited и использовался по крайней мере с 24 августа по 28 сентября 2020 г. Поскольку IP-адрес больше не используется, предполагается, что злоумышленники работают над изменением своей инфраструктуры.
Источники
править| Эта статья содержит материалы из статьи «Китайские хакеры возобновили шпионаж за Ватиканом», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |  |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
