Китайские хакеры возобновили шпионаж за Ватиканом

Китайская киберпреступная группировка Mustang Panda (также известная как TA416 и RedDelta) возобновила операции по кибершпионажу за Ватиканом. Преступники приостановили вредоносную кампанию в июле нынешнего года после публикации отчета Recorded Future, однако теперь вернулись с обновленным арсеналом хакерских инструментов.

Группировка известна своими атаками на организации, связанные с дипломатическими отношениями между Ватиканом и Коммунистической партией Китая, а также на организации в Мьянме. Новая вредоносная кампания, похоже, является продолжением данной деятельности, полагают эксперты из Proofpoint.

Изменения в арсенале преступников включают использование нового варианта загрузчика трояна для удаленного доступа PlugX, написанного на языке Golang.

Злоумышленники используют фишинговые приманки, демонстрируя нацеленность на отношения между Ватиканом и Коммунистической партией Китая, а также поддельные электронные письма, якобы отправленные от журналистов из Союза католических новостей Азии. В рамках атак хакеры использовали RAR-архивы в качестве загрузчиков PlugX, но вектор доставки данных архивов еще не определен. Однако известно, что группировка использует URL-адреса Google Диска и Dropbox в фишинговых письмах.

RAR-архивы, используемые в кампании, включают зашифрованную полезную нагрузку PlugX, легитимный исполняемый файл Adobe для «боковой загрузки» и двоичный файл на языке Golang для расшифровки и загрузки вредоносов.

Согласно Proofpoint, злоумышленники впервые использовали двоичный код Golang в своих атаках. Несмотря на то, что он имеет новый тип файла, загрузчик PlugX не изменил свою функциональность — он выполняет PlugX, а также обеспечивает его персистентность на системе.

IP-адрес C&C-сервера размещался у китайского интернет-провайдера Anchnet Asia Limited и использовался по крайней мере с 24 августа по 28 сентября 2020 г. Поскольку IP-адрес больше не используется, предполагается, что злоумышленники работают над изменением своей инфраструктуры.

Источник: https://www.securitylab.ru/news/514340.php