Mustang Panda продолжает атаковать страны Европы и Азиатско-Тихоокеанского региона, используя текущие геополитические события в своих интересах. Цепочка их атак остается последовательной, с постоянным использованием архивных файлов, файлов ярлыков, вредоносных загрузчиков и использованием вредоносного ПО PlugX. Судя по приманкам, о которых рассказывается в этом блоге, целью этой конкретной операции, по-видимому, является сбор конфиденциальной информации из европейских стран и государств Азии, которые могут поддерживать западные страны.
В рамках продолжающейся охоты и непрерывного мониторинга группы передовых постоянных угроз (APT) Mustang Panda, команда BlackBerry Threat Research and Intelligence недавно наткнулась на интересный RAR-файл под названием "Political Guidance for the new EU approach towards Russia.rar".
Этот файл привлек интерес в связи с текущей геополитической ситуацией в Восточной Европе. Изучение его содержимого выявило документ-обманку, соответствующий именованию RAR, а также дополнительные компоненты, которые часто встречаются в типичной цепочке заражения PlugX.
При изучении соответствующей сетевой инфраструктуры и отталкивании от связанных сетевых артефактов были обнаружены дополнительные файлы и инфраструктура. Они соответствовали аналогичным тактике, технике и процедурам (ТТП) и, по-видимому, являлись частью более крупной кампании, проводимой одним и тем же субъектом угрозы, направленной на множество организаций, как государственных, так и частных, в нескольких отраслях промышленности и во многих странах мира.
Mustang Panda APT IOCs
Indicators of Compromise
IPv4
- 103.192.226.87
- 104.42.43.178
- 185.80.201.4
- 194.124.227.90
- 43.254.218.128
- 45.147.26.45
- 45.32.101.7
- 5.34.178.156
- 62.233.57.49
- 64.34.216.44
- 64.34.216.50
SHA256
- f70d3601fb456a18ed7e7ed599d10783447016da78234f5dca61b8bd3a084a15