Исследователи EclecticIQ продолжают отслеживать китайскую государственную APT-группу под названием Mustang Panda. В декабре 2022 года эта группа начала атаковать Европу с помощью новой спирфишинговой кампании с использованием адаптированного варианта бэкдора PlugX.
- Начиная как минимум с 2019 года, группа угроз Mustang Panda нацелилась на правительственные организации и организации государственного сектора в Азии и Европе, проводя долгосрочные кампании кибершпионажа в соответствии со стратегическими интересами китайского правительства.
- В ноябре 2022 года Mustang Panda перешла от использования архивных файлов к использованию вредоносных файлов образов оптических дисков (ISO), содержащих файл ярлыка (LNK) для доставки модифицированной версии вредоносного ПО PlugX. Этот переход увеличивает вероятность уклонения от решений по борьбе с вредоносным ПО.
- APT-группа Mustang Panda загружает вредоносное ПО PlugX в память легитимного программного обеспечения, используя четырехступенчатую цепочку заражения, которая использует вредоносные файлы ярлыков (LNK), инициируя выполнение через перехват порядка поиска динамически подключаемых библиотек (DLL).
Indicators of Compromise
IPv4
- 217.12.206.116
- 45.134.83.29
SHA256
- 26c855264896db95ed46e502f2d318e5f2ad25b59bdc47bd7ffe92646102ae0d
- 2c0273394cda1b07680913edd70d3438a098bb4468f16eebf2f50d060cdf4e96
- 723d804cfc334cad788f86c39c7fb58b42f452a72191f7f39400cf05d980b4f3
- 8c4926dd32204b6a666b274a78ccfb16fe84bbd7d6bc218a5310970c4c5d9450
- ee2c8909089f53aafc421d9853c01856b0a9015eba12aa0382e98417d28aef3f