Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга



Reply
 
Thread Tools Display Modes
  #1  
Old 01-02-2025, 08:24 PM

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default


Для распространения PlugX вновь используется социальная инженерия и вредоносные ярлыки.
В 2019 году китайская хакерская группировка Mustang Panda нацелилась на правительственные и общественные организации в Азии и Европе. Киберпреступники проводили долгосрочные кампании кибершпионажа в соответствии со стратегическими интересами правительства Китая.
До ноября 2022 года группировка использовала в своих атаках вредоносные архивные файлы, однако теперь применяет другой метод. Согласно отчёту компании EclecticIQ, в настоящее время Mustang Panda активно использует файлы оптических дисков «.iso», содержащие вредоносные файлы-ярлыки «.lnk». Ярлыки замаскированы под документы Microsoft Office Word, поэтому беглым взглядом понять неладное жертвам атаки не всегда удаётся.

Вредоносный файл-ярлык, скачивающий полезную нагрузку PlugX
Не обошлось тут и без социальной инженерии. Файл, который распространяют хакеры из Mustang Panda называется «Письмо в Европейскую Комиссию об ограничении цен на российскую нефть». А в параметрах запуска прописана команда: «C:\Windows\System32\cmd.exe /q /c "System Volume Information\ \test2022.ucp"».
«test2022.ucp» в этой команде — это переименованное легитимное программное обеспечение, которое изначально называется «LMIGuardianSvc.exe», часть некогда популярной в СНГ программы LogMeIn Hamachi для создания локальных мостов между компьютерами. Исполняемый файл «LMIGuardianSvc.exe» используется злоумышленниками для взлома DLL и скачивания на компьютер зашифрованного загрузчика PlugX под названием «LMIGuardianDll.dll». Затем он дешефруется в готовый для атаки вредонос «LMIGuardianDat.dat».

Процесс «распаковки» вируса PlugX
После успешного выполнения вредоносного ПО PlugX подключается к удаленному серверу C2, который используется для отправки команд на скомпрометированные системы и получения отфильтрованных данных из целевой сети. Таким образом злоумышленники могут удаленно выполнять различные команды в зараженной системе.
Общая схема атаки, по итогу, выглядит следующим образом:

Схема доставки и активации вредоноса на компьютер жертвы
Аналитики EclecticIQ считают, что целью конкретно этого документа-приманки была европейская организация. Группировка Mustang Panda и ранее атаковала европейские организации примерно тем же путём. Сейчас группировка остаётся активной угрозой для всей Европы и Азии. По мнению специалистов из EclecticIQ, Mustang Panda в будущем ещё больше увеличит свою активность и продолжит использовать схожие методы атак в ответ на геополитические события в мире.
Reply

Tags
NULL


Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is On

Forum Jump




All times are GMT. The time now is 09:52 PM.