Mustang Panda также известны под именами HoneyMyte, Bronze President, RedDelta и TA416. Обычно они занимаются кибершпионажем.
Интересно Хакеры Anonymous опубликовали 350 тысяч электронных писем российского Accent Capital
Что известно
- Эта хакерская группа активна как минимум с июля 2018 года, и чаще всего ее атаки нацелены на разные регионы Юго-Восточной Азии, хотя хакеры также интересуются целями из стран Европы и США.
- Secureworks сообщает, что теперь Mustang Panda демонстрирует необычное для себя поведение, поскольку злоумышленники сосредоточились на российских военнослужащих и чиновниках, работающих недалеко от границы с Китаем.
- В своих фишинговых приманках хакеры эксплуатируют тему спецоперации в Украине.
- Вредоносные документы представляют собой файлы .exe, но маскируются под документы в формате PDF и названы на русском языке – "Благовещенск – Благовещенск пограничный отряд".
- Несмотря на русское название, написаны документы на английском языке и маскируются под опубликованные ЕС данные о санкциях против Беларуси.
- Почему использован именно английский язык, неясно. Логика хакеров здесь остается тайной.
Если попытаться открыть файл, рассказывают исследователи, из него "извлекается" множество дополнительных файлов, в том числе сам документ-приманка, вредоносный загрузчик DLL, зашифрованный вариант вируса PlugX (Korplug) и еще один файл .exe.
PlugX является основным инструментом хакеров и представляет собой троян удаленного доступа для Windows, позволяющий выполнять различные команды в зараженных системах, воровать файлы, устанавливать бэкдоры и дополнительные вредоносные задачи.