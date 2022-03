Среди известных жертв – исследовательские организации, поставщики Интернет-услуг и европейские дипломатические миссии, которые преимущественно расположены в Восточной и Юго-Восточной Азии.

Специалисты из компании ESET, которая является лидером в области информационной безопасности, предупредили об обнаружении новой шпионской активности группы киберпреступников Mustang Panda с использованием ранее неизвестной версии вредоносной программы Korplug.

Как отмечают в ESET, злоумышленники используют как приманку тему войны в Украине и другие актуальные европейские новости.

Среди известных жертв – исследовательские организации, поставщики Интернет-услуг и европейские дипломатические миссии, которые преимущественно расположены в Восточной и Юго-Восточной Азии. Исследователи ESET назвали этот новый вариант Korplug-Hodur – из-за его сходства с вариантом THOR, обнаруженным в 2020 году. В скандинавской мифологии Гед (Hodur) является сводным братом Тора (Thor).

Вредоносная программа может удаленно выполнять команды киберпреступников и похищать информацию с устройств жертв. Для их инфицирования злоумышленники используют фишинговые сообщения с документами о последних событиях в Европе, такие как вторжение россии в Украину. В частности один из файлов назван "Situation at the EU borders with Ukraine.exe".

В других фишинговых приманках упоминаются обновленные ограничения на поездки из-за COVID-19, утвержденная карта региональной помощи для Греции и постановление Европейского парламента и Совета. Финальной приманкой является настоящий документ, доступный на сайте Европейского Совета. Это свидетельствует о том, что APT-группа, которая стоит за этой вредоносной активностью, следит за текущими событиями и может быстро на них реагировать.

"На основе сходства кода и многих общих черт в тактиках, техниках и процедурах исследователи ESET с большой уверенностью приписывают эту вредоносную активность группе Mustang Panda, которая также известна как TA416, RedDelta или PKPLUG. Это кибершпионская группа, которая преимущественно нацелена на государственные учреждения и неправительственные организации, – объясняют исследователи компании ESET. – Жертвы Mustang Panda по большей части, но не исключительно, находятся в Восточной и Юго-Восточной Азии с акцентом на Монголию. Группа также известна своей кампанией, направленной на Ватикан в 2020 году".

Хотя исследователи ESET не смогли определить всех жертв, эта вредоносная активность, вероятно, имеет те же цели, что и другие кампании Mustang Panda. Большинство жертв группы находятся в Восточной и Юго-Восточной Азии, а также в странах Европы и Африки. По данным телеметрии ESET, большинство целей расположено в Монголии и Вьетнаме, за ними следует Мьянма, и лишь несколько в других странах, а именно в Греции, Кипре, россии, Южном Судане и Южной Африке. Среди жертв – дипломатические миссии, исследовательские учреждения и Интернет-провайдеры.

В атаках Mustang Panda часто используются специальные загрузчики для вредоносного ПО, в частности Cobalt Strike, Poison Ivy и Korplug (также известный как PlugX). Известно, что группа также создает собственные варианты Korplug. "По сравнению с другими атаками с применением Korplug на этот раз на каждом этапе процесса развертывания используются методы препятствования анализу и запутывание, чтобы усложнить расследование исследователями вредоносных программ", – заключают специалисты ESET.

Подробный отчет об угрозе доступен по ссылке.

