Mustang Panda APT IOCs - Part 4

security IOC

Исследователи EclecticIQ продолжают отслеживать китайскую государственную APT-группу под названием Mustang Panda. В декабре 2022 года эта группа начала атаковать Европу с помощью новой спирфишинговой кампании с использованием адаптированного варианта бэкдора PlugX.

  • Начиная как минимум с 2019 года, группа угроз Mustang Panda нацелилась на правительственные организации и организации государственного сектора в Азии и Европе, проводя долгосрочные кампании кибершпионажа в соответствии со стратегическими интересами китайского правительства.
  • В ноябре 2022 года Mustang Panda перешла от использования архивных файлов к использованию вредоносных файлов образов оптических дисков (ISO), содержащих файл ярлыка (LNK) для доставки модифицированной версии вредоносного ПО PlugX. Этот переход увеличивает вероятность уклонения от решений по борьбе с вредоносным ПО.
  • APT-группа Mustang Panda загружает вредоносное ПО PlugX в память легитимного программного обеспечения, используя четырехступенчатую цепочку заражения, которая использует вредоносные файлы ярлыков (LNK), инициируя выполнение через перехват порядка поиска динамически подключаемых библиотек (DLL).

Indicators of Compromise

IPv4

  • 217.12.206.116
  • 45.134.83.29

SHA256

  • 26c855264896db95ed46e502f2d318e5f2ad25b59bdc47bd7ffe92646102ae0d
  • 2c0273394cda1b07680913edd70d3438a098bb4468f16eebf2f50d060cdf4e96
  • 723d804cfc334cad788f86c39c7fb58b42f452a72191f7f39400cf05d980b4f3
  • 8c4926dd32204b6a666b274a78ccfb16fe84bbd7d6bc218a5310970c4c5d9450
  • ee2c8909089f53aafc421d9853c01856b0a9015eba12aa0382e98417d28aef3f
SEC-1275-1
Добавить комментарий