иллюстрация ua.depositphotos.com
Среди известных жертв – исследовательские организации, поставщики Интернет-услуг и европейские дипломатические миссии, которые преимущественно расположены в Восточной и Юго-Восточной Азии.
Специалисты из компании ESET, которая является лидером в области информационной безопасности, предупредили об обнаружении новой шпионской активности группы киберпреступников Mustang Panda с использованием ранее неизвестной версии вредоносной программы Korplug.
Как отмечают в ESET, злоумышленники используют как приманку тему войны в Украине и другие актуальные европейские новости.
Среди известных жертв – исследовательские организации, поставщики Интернет-услуг и европейские дипломатические миссии, которые преимущественно расположены в Восточной и Юго-Восточной Азии. Исследователи ESET назвали этот новый вариант Korplug-Hodur – из-за его сходства с вариантом THOR, обнаруженным в 2020 году. В скандинавской мифологии Гед (Hodur) является сводным братом Тора (Thor).
Вредоносная программа может удаленно выполнять команды киберпреступников и похищать информацию с устройств жертв. Для их инфицирования злоумышленники используют фишинговые сообщения с документами о последних событиях в Европе, такие как вторжение россии в Украину. В частности один из файлов назван "Situation at the EU borders with Ukraine.exe".
В других фишинговых приманках упоминаются обновленные ограничения на поездки из-за COVID-19, утвержденная карта региональной помощи для Греции и постановление Европейского парламента и Совета. Финальной приманкой является настоящий документ, доступный на сайте Европейского Совета. Это свидетельствует о том, что APT-группа, которая стоит за этой вредоносной активностью, следит за текущими событиями и может быстро на них реагировать.
"На основе сходства кода и многих общих черт в тактиках, техниках и процедурах исследователи ESET с большой уверенностью приписывают эту вредоносную активность группе Mustang Panda, которая также известна как TA416, RedDelta или PKPLUG. Это кибершпионская группа, которая преимущественно нацелена на государственные учреждения и неправительственные организации, – объясняют исследователи компании ESET. – Жертвы Mustang Panda по большей части, но не исключительно, находятся в Восточной и Юго-Восточной Азии с акцентом на Монголию. Группа также известна своей кампанией, направленной на Ватикан в 2020 году".
Хотя исследователи ESET не смогли определить всех жертв, эта вредоносная активность, вероятно, имеет те же цели, что и другие кампании Mustang Panda. Большинство жертв группы находятся в Восточной и Юго-Восточной Азии, а также в странах Европы и Африки. По данным телеметрии ESET, большинство целей расположено в Монголии и Вьетнаме, за ними следует Мьянма, и лишь несколько в других странах, а именно в Греции, Кипре, россии, Южном Судане и Южной Африке. Среди жертв – дипломатические миссии, исследовательские учреждения и Интернет-провайдеры.
В атаках Mustang Panda часто используются специальные загрузчики для вредоносного ПО, в частности Cobalt Strike, Poison Ivy и Korplug (также известный как PlugX). Известно, что группа также создает собственные варианты Korplug. "По сравнению с другими атаками с применением Korplug на этот раз на каждом этапе процесса развертывания используются методы препятствования анализу и запутывание, чтобы усложнить расследование исследователями вредоносных программ", – заключают специалисты ESET.
Подробный отчет об угрозе доступен по ссылке.
О компании:
ESET – эксперт в области защиты от киберпреступности и цифровых угроз, международный разработчик решений по ИТ-безопасности, ведущий поставщик в области создания технологий обнаружения угроз. Основанная в 1992 году, компания ESET сегодня имеет расширенную партнерскую сеть и представительства в более чем 180 странах мира. Главный офис компании находится в Братиславе, Словакия.
ESET в Украине:
Более 15 лет продукты ESET официально представлены на территории Украины. Начиная с 2005 года, пользователи имеют возможность бесплатно обратиться за помощью в службу технической поддержки ESET в Украине, а также пройти курсы обучения по использованию продуктов компании ESET. Пользователями ESET являются крупнейшие украинские и международные компании и организации.
Более подробная информация о компании и продуктах ESET доступна на украинском официальном сайте www.eset.com/ua/.