Красные тени над Янгуном: Mustang Panda атакует Мьянму с помощью изощрённого вредоносного ПО

Вредоносная кампания стартовала с рассылки фишинговых писем, содержащих вложение в формате PDF. Сам документ не является зловредным, однако внутри него был внедрён URL-адрес, ведущий на внешний ресурс. При переходе по ссылке автоматически загружался ZIP-архив с именем «Call Notes.zip». Внутри архива находились два файла: исполняемый файл «Call Notes.exe» и библиотека «SolidPDFCreator.dll».

Злоумышленники применили несколько методов маскировки. Имя исполняемого файла было специально дополнено многочисленными пробелами перед расширением .exe, чтобы визуально скрыть его настоящий тип и ввести жертву в заблуждение. Кроме того, файлу была присвоена иконка PDF, что заставляло его выглядеть как безобидный документ. Эта социальная инженерия предназначена для обхода внимания пользователя и побуждения к запуску.

После выполнения «Call Notes.exe» вредоносная программа осуществляет методику DLL sideloading (подмены библиотеки), загружая «SolidPDFCreator.dll». Этот файл, в свою очередь, обеспечивает постоянное присутствие в системе путём создания записи в автозагрузке реестра Windows (раздел Run). Затем зловред проводит разведку системы, собирает пользовательские данные и exfiltrate (передаёт) их на удалённый сервер через зашифрованное SFTP-соединение с использованием жёстко прописанных учётных данных.

Динамический анализ показал, что вредоносное ПО демонстрирует высокую адаптивность. Оно не работает по строго заданному сценарию, а получает команды в реальном времени от своего командного сервера (C2 - Command and Control) с IP-адресом 146[.]70[.]29[.]229. Это указывает на прямое участие оператора, что является характерным признаком APT-групп. В ходе выполнения вредоносное программного обеспечения последовательно исполняло ряд команд, включая сканирование сети, архивацию данных с рабочего стола и их последующую эксфильтрацию.

Особую озабоченность вызывают функции противодействия анализу. Вредоносная программа пытается обнаружить средства мониторинга, такие как Sysmon, и при их выявлении очищает соответствующие журналы событий (event logs) с помощью утилиты wevtutil. В одной из тестовых сред она также инициировала немедленное выключение системы, что может расцениваться как попытка анти-форензики (сокрытия следов) или намеренного срыва работы аналитиков.

Атрибуция кампании группе Mustang Panda подтверждается несколькими факторами. Это использование их характерных TTP, включая подмену DLL, применение облачных хранилищ для размещения инструментов и эксфильтрацию данных с помощью встроенных системных утилит. Группа давно известна таргетированием правительственных учреждений и НПО в Юго-Восточной Азии.

Организациям рекомендуется повышать осведомлённость сотрудников о фишинге, внимательно проверять вложения и ссылки в письмах, даже поступающих из доверенных источников, и внедрять многоуровневые системы защиты, включающие мониторинг сетевой активности и анализ поведения конечных точек. Данный инцидент в очередной раз подчёркивает, насколько изощрёнными и целевыми стали современные киберугрозы, исходящие от государственных хакерских группировок.

IPv4 Port Combinations

• 146.70.29.229:443
• 202.59.10.106:22

URLs

• https://app.box.com/index.php?rm=box_download_shared_file&shared_name=uhq1ltiwxm500hjwa3uj9ihs2ooa2dsc&file_id=f_1972722470327

SHA256

• 564a03763879aaed4da8a8c1d6067f4112d8e13bb46c2f80e0fcb9ffdd40384c
• fcf4efa82d477c924d42cc6b71aa672ab2381ca256769925ae34dabe2e77e025

Mutex

• WilStaging_02