• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости Китайские хакеры Mustang Panda используют свежесозданный бэкдор для продвинутого уклонения от обнаружения

Пригоршня

Штурман
Бродяга
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 4ч 33м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

Китайская хакерская группа Mustang Panda, занимающаяся кибершпионажем, была замечена в развертывании нового пользовательского бэкдора под названием «MQsTTang».

Mustang Panda — это группа злоумышленников, нацеленная на организации в разных сферах по всему миру. В своих атаках, направленных в первую очередь на кражу информации, киберпреступники используют настраиваемые версий вредоносного ПО PlugX. Группировка также известна как TA416 и Bronze President.

Новый бэкдор MQsTTang от Mustang Panda, похоже, не основан на известных вредоносных программах. Данный факт указывает на то, что хакеры, скорее всего, разработали MQsTTang с нуля, чтобы затруднить обнаружение вредоноса антивирусными продуктами.

Исследователи ESET обнаружили MQsTTang в ходе вредоносной кампании, нацеленной на правительственные и политические организации в Европе и Азии. Она началась в январе 2023 года и продолжается до сих пор.

Распространение вредоносного ПО происходит через фишинговые электронные письма, а полезная нагрузка загружается из репозиториев GitHub, созданных пользователем, связанным с предыдущими кампаниями Mustang Panda. Вредоносная программа представляет собой один и тот же исполняемый файл внутри различных «.rar»-архивов. Архивы в своих названиях придерживаются дипломатической тематики.

ESET характеризует MQsTTang как «базовый» бэкдор, позволяющий злоумышленникам удаленно выполнять команды на компьютере жертвы. При запуске вредоносная программа создает свою копию с повышенными привилегиями, которая выполняет различные задачи, такие как установление связи с C2-сервером, настройка постоянства в системе жертвы и т.д.

В начале февраля мы уже писали о Mustang Panda. Тогда специалисты компании EclecticIQ раскрыли их вредоносную кампанию с использованием «.iso»-образов, содержащими вредоносные ярлыки.

Необычной характеристикой нового бэкдора является использование протокола MQTT для связи с C2-сервером. MQTT обеспечивает вредоносному ПО хорошую устойчивость к отключению C2-сервера, скрывает инфраструктуру злоумышленника, фильтруя все сообщения, и снижает вероятность обнаружения вредоноса специалистами, которые обычно пытаются обнаружить наиболее часто используемые C2-протоколы.

Чтобы избежать обнаружения, MQsTTang также проверяет наличие на хосте отладчиков или средств мониторинга и, если таковые обнаружены, соответствующим образом меняет свое поведение.

Пока неизвестно, останется ли надолго вредонос MQsTTang в арсенале группировки или же он был специально разработан для конкретной операции. Время покажет наверняка.
 
Сверху