Китайская хакерская группировка Mustang Panda (также известная как LuminousMoth, Camaro Dragon, HoneyMyte и другие) была замечена в проведении целенаправленных атак с использованием вредоносного ПО против высокоценных целей, включая государственные учреждения в Азии.
Группировка использовала модифицированную версию червя HIUPAN для доставки вредоносного ПО PUBLOAD в сети своих целей через съемные носители. Червь HIUPAN перемещал все свои файлы в скрытый каталог, чтобы замаскировать свое присутствие, и оставлял видимым только один файл, выглядящий легитимно («USBConfig.exe»), чтобы обмануть пользователя.
Основной инструмент кампании, PUBLOAD, использовался для кражи данных и отправки их на удаленный сервер злоумышленников. Также часто применялся инструмент для извлечения данных PTSOCKET.
Независимое исследование компании TrendMicro подчеркивает совершенствование методов распространения вредоносного ПО группировкой Mustang Panda, особенно в атаках на военные, правительственные и образовательные учреждения в Азиатско-Тихоокеанском регионе.
Ранее сообщалось, что группировка использовала различные версии WispRider для выполнения аналогичных техник загрузки DLL через USB-устройства. Прошлые кампании затронули устройства по всему миру, включая Великобританию, Россию и Индию.
В июне текущего года группировка также была связана с кампанией социальной инженерии, демонстрируя свои возможности в эксплуатации облачных сервисов Microsoft и мультиступенчатых загрузчиков. Она остается активной в киберпространстве и, вероятно, продолжит свои операции в обозримом будущем.
Эти атаки являются одними из многих предполагаемых киберопераций Китая в последнее время, направленных против самых разных целей, включая российские государственные устройства, скомпрометированные фишинговыми атаками.
Via BleepingComputer
Источник: TechRadar
