Mustang Panda також відомі під іменами HoneyMyte, Bronze President, RedDelta і TA416. Зазвичай вони займаються кібершпіонажем.
Цікаво Хакери Anonymous опублікували 350 тисяч електронних листів російської Accent Capital
Що відомо
- Ця хакерська група активна як мінімум з липня 2018 року, і найчастіше її атаки націлені на різні регіони Південно-Східної Азії, хоча часом хакери також цікавляться цілями з країн Європи та США.
- Secureworks повідомляє, що тепер Mustang Panda демонструє незвичайну для себе поведінку, оскільки зловмисники, зосередилися на російських військовослужбовцях і чиновниках, що працюють недалеко від кордону з Китаєм.
- У своїх фішингових приманках хакери експлуатують тему "спецоперації" в Україні.
- Шкідливі документи являють собою файли .exe, але маскуються під документи у форматі PDF і названі російською мовою — "Благовещенск - Благовещенск пограничный отряд".
- Попри російську назву, написані документи англійською мовою і маскуються під опубліковані ЄС дані про санкції проти Білорусі.
- Чому використана саме англійська мова, неясно. Логіка хакерів тут залишається таємницею.
Якщо спробувати відкрити файл, розповідають дослідники, з нього "витягується" безліч додаткових файлів, у тому числі сам документ-приманка, шкідливий завантажувач DLL, зашифрований варіант віруса PlugX (Korplug) і ще один файл .exe.
PlugX є основним інструментом хакерів і являє собою троян віддаленого доступу для Windows, який дозволяє виконувати різні команди в заражених системах, красти файли, встановлювати бекдори й додаткові шкідливі завдання.