Ngày 07 tháng 12 năm 2022Ravie LakshmananSpear Lừa đảo / Gián điệp mạng
Nhóm tin tặc quốc gia liên kết với Trung Quốc được gọi là Gấu trúc Mustang đang sử dụng mồi nhử liên quan đến Chiến tranh Nga-Ukraine đang diễn ra để tấn công các thực thể ở Châu Âu và Châu Á Thái Bình Dương.
Đó là theo Nhóm nghiên cứu và tình báo BlackBerry, nhóm đã phân tích tệp lưu trữ RAR có tiêu đề “Hướng dẫn chính trị cho cách tiếp cận mới của EU đối với Nga.rar.” Một số quốc gia được nhắm mục tiêu bao gồm Việt Nam, Ấn Độ, Pakistan, Kenya, Thổ Nhĩ Kỳ, Ý và Brazil.
Mustang Panda là một nhóm gián điệp mạng lớn từ Trung Quốc cũng được theo dõi dưới tên Chủ tịch đồng, Earth Preta, HoneyMyte, RedDelta và Red Lich.
Nó được cho là đã hoạt động kể từ ít nhất là tháng 7 năm 2018, theo hồ sơ mối đe dọa của Secureworks, mặc dù các dấu hiệu cho thấy tác nhân đe dọa đã nhắm mục tiêu vào các thực thể trên toàn thế giới ngay từ năm 2012.
Mustang Panda được biết là phụ thuộc rất nhiều vào việc gửi các tệp đính kèm được vũ khí hóa qua email lừa đảo để đạt được sự lây nhiễm ban đầu, với sự xâm nhập cuối cùng dẫn đến việc triển khai trojan truy cập từ xa PlugX.
Tuy nhiên, các cuộc tấn công lừa đảo trực tuyến gần đây do nhóm thực hiện nhắm mục tiêu vào các lĩnh vực chính phủ, giáo dục và nghiên cứu ở khu vực Châu Á Thái Bình Dương có liên quan đến phần mềm độc hại tùy chỉnh như PUBLOAD, TONEINS và TONESHELL, cho thấy khả năng mở rộng kho phần mềm độc hại của nhóm.
Những phát hiện mới nhất từ BlackBerry cho thấy quá trình lây nhiễm cốt lõi vẫn ít nhiều giống nhau, ngay cả khi Mustang Panda tiếp tục tận dụng các sự kiện địa chính trị để tạo lợi thế cho chúng, lặp lại các báo cáo trước đó từ Google và Proofpoint.
Chứa trong kho lưu trữ mồi nhử là lối tắt đến tệp Microsoft Word, tệp này tận dụng tính năng tải bên DLL – một kỹ thuật cũng được sử dụng trong các cuộc tấn công nhằm vào Myanmar hồi đầu năm nay – để khởi động quá trình thực thi PlugX trong bộ nhớ, trước khi hiển thị tệp của tài liệu. nội dung.
“Chuỗi tấn công của chúng vẫn nhất quán với việc tiếp tục sử dụng các tệp lưu trữ, tệp lối tắt, trình tải độc hại và sử dụng phần mềm độc hại PlugX, mặc dù thiết lập phân phối của chúng thường được tùy chỉnh theo vùng/quốc gia để dụ nạn nhân thực hiện tải trọng của chúng với hy vọng thiết lập sự kiên trì với mục đích gián điệp,” Dmitry Bestuzhev của BlackBerry nói với The hacker news.
