Mustang Panda атаковала королевскую полицию Таиланда с помощью троянизированного установщика

Кампания начинается с RAR-архива, названного на тайском языке и предлагающего присоединиться к проекту сотрудничества по обучению курсам ФБР. Хотя первоначальный вектор проникновения точно не установлен, высока вероятность его доставки через фишинговые электронные письма. Внутри архива находятся LNK-файл, замаскированный под документ, поддельный PDF-файл и папка $Recycle.bin.

LNK-файл исполняет ftp.exe из системной директории Windows, который обрабатывает команды, встроенные в поддельный PDF-файл, как FTP-скрипт. Этот файл, внешне выглядящий как форма ответа, на самом деле содержит команды Windows, исполняемые через cmd.exe. Жертве не требуется открывать PDF - достаточно запуска ярлыка.

Эти команды перемещают DOCX-файл из папки $Recycle.bin, заменяя LNK-файл на файл-приманку, чтобы скрыть следы заражения. Затем вредоносный файл из той же папки копируется в c:\programdata\ под именем PrnInstallerNew.exe и исполняется.

Файл PrnInstallerNew.exe представляет собой троянизированную версию легального установщика драйверов печати PDF-XChange. Для усложнения детектирования вредоносное ПО динамически разрешает вызовы API через GetProcAddress(), собирая имена функций из массива символов, что позволяет избежать их прямого указания в импортах. Для обеспечения постоянства работы программа добавляет себя в автозагрузку через запись в реестре в разделе HKEY_CurrentUser. Также создается мьютекс для проверки уже запущенного экземпляра.

После инициализации вредоносное ПО устанавливает соединение с IP-адресом 154[.]90[.]47[.]77 через TCP-порт 443, используя динамически загруженную библиотеку сокетов ws2_32.dll. Как характерно для бэкдора Yokai, на контролируемый сервер отправляется имя хоста, после чего злоумышленник получает возможность выполнения команд на зараженной системе.

Целевая атака на таиландскую полицию, вероятно, является частью более широкой кампании против государственных чиновников Таиланда, которая наблюдалась в последние месяцы прошлого года. Китайские APT-группы, включая Mustang Panda и CerenaKeeper, годами нацеливались на таиландские государственные структуры.

Mustang Panda - группа, базирующаяся в Китае, активная как минимум с 2014 года. Она специализируется на шпионаже и традиционно нацелена на правительства и неправительственные организации в Азии, Европе и США. В последних кампаниях группа использовала похожие методы с документами-приманками и LNK-файлами. В отличие от ранее наблюдаемой техники DLL Sideloading, в данной атаке был троянизирован легитимный установщик. Интересно, что один из бинарных файлов, изученных ранее, имеет пересечения кода с самораспространяющимся через USB вредоносным ПО WispRider, также используемым Mustang Panda.

Постоянное целевое воздействие на Таиланд со стороны китайских APT-групп подчеркивает напряженность в сфере кибершпионажа в Юго-Восточной Азии. В условиях роста геополитических и экономических противоречий Таиланд остается важной мишенью для операций, нацеленных на сбор разведданных, политическое влияние и получение экономических преимуществ. Для противодействия этим угрозам организациям и государственным учреждениям необходимо уделять первостепенное внимание надежным мерам кибербезопасности, обмену информацией об угрозах и региональному сотрудничеству.

IPv4

• 154.90.47.77

MD5

• 0b88f13e40218fcbc9ce6e1079d45169
• 571c2e8cfcd1669cc1e196a3f8200c4e
• 87393d765abd8255b1d2da2d8dc2bf7f
• b73f59eb689214267ae2b39bd52c33c6