Какой аналитик по политике не захочет открыть вложение, обещающее раскрыть планы США в отношении Венесуэлы? Именно такой приманкой воспользовались китайские кибершпионы, нацелившись на правительственные учреждения США и организации, связанные с политикой, в рамках фишинговой кампании, начавшейся всего через несколько дней после ареста президента Венесуэлы Николаса Мадуро американской военной операцией.
Подразделение Acronis Threat Research обнаружило эту кампанию после того, как в начале января на VirusTotal был загружен ZIP-файл с названием «США теперь решают, что дальше с Венесуэлой» (US now deciding what’s next for Venezuela). Он содержал легитимный исполняемый файл и скрытую бэкдор-программу на основе DLL под названием Lotuslite.
Это сочетание, наряду с другими факторами, такими как инфраструктурные и технические совпадения, позволило специалистам по безопасности с «умеренной уверенностью» связать фишинговую кампанию с группировкой шпионов, поддерживаемой Пекином, известной как Mustang Panda (также известная как UNC6384, Twill Typhoon).
Правоохранительные органы и киберспециалисты США отслеживают Mustang Panda на протяжении многих лет и возлагают на этих шпионов вину за взлом «множества государственных и частных организаций» в США, Европе и Индо-Тихоокеанском регионе.
В отчете, опубликованном в четверг, охотники за угрозами из Acronis подробно описали последнюю кампанию группировки и предоставили технический анализ своей новой вредоносной программы Lotuslite. Один из авторов, руководитель отдела исследований угроз Сантьяго Понтироли, заявил, что неизвестно, удалось ли шпионам из КНР скомпрометировать какие-либо целевые компьютеры.
«Это была точечная, целенаправленная кампания, а не широкомасштабная или случайная атака. Таргетирование выглядит избирательным, а не широким разбросом», — сообщил Понтироли изданию The Register.
«Ответственный за угрозу субъект вписывается в более широкую картину продолжающейся деятельности кибершпионажа, которая является оппортунистической и реагирующей на события, а не статичной», — добавил он. «В этой конкретной кампании злоумышленник действовал быстро, сразу после ареста Мадуро».
Mustang Panda, как и в своих предыдущих фишинговых экспедициях, увязала свою кибероперацию с текущими геополитическими событиями. В данном случае это был арест Мадуро, в то время как предыдущие кампании использовали приманки, связанные с дипломатическими конференциями и региональными политическими событиями.
«В операционном плане Mustang Panda отдает предпочтение среднесложным, повторяемым методам исполнения, в первую очередь — широкому использованию DLL sideloading для развертывания пользовательских имплантов через безвредные или доверенные исполняемые файлы», — написали в подразделении по исследованию угроз.
Дополнительный анализ ZIP-архива выявил исполняемый загрузчик с названием «Мадуро будет доставлен в Нью-Йорк» (Maduro to be taken to New York) — им оказался переименованный бинарный загрузчик сервиса стриминга музыки, принадлежащего Tencent, — а также скрытая вредоносная DLL под названием kugou.
Kugou.dll, по данным исследователей, оказалась ранее не встречавшейся бэкдор-программой, которую они назвали Lotuslite. Пользовательский имплант на C++ взаимодействует с жестко закодированным сервером команд-и-контроля на базе IP-адреса. Он обеспечивает постоянство на зараженных машинах, выполняет задачи по отслеживанию и позволяет операторам похищать данные из сред жертв. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons
