Спеціалісти з компанії ESET, що є лідером у галузі інформаційної безпеки, попередили про виявлення нової шпигунської активності групи кіберзлочинців Mustang Panda з використанням раніше невідомої версії шкідливої програми Korplug.
Як ззначають в ESET, зловмисники використовують як приманку тему війни в Україні та інші актуальні європейські новини.
Серед відомих жертв – дослідницькі організації, постачальники Інтернет-послуг та європейські дипломатичні місії, які переважно розташовані у Східній та Південно-Східній Азії. Дослідники ESET назвали цей новий варіант Korplug – Hodur – через його схожість з варіантом THOR, виявленим у 2020 році. У скандинавській міфології Гед (Hodur) є зведеним братом Тора (Thor).
Шкідлива програма може віддалено виконувати команди кіберзлочинців та викрадати інформацію з пристроїв жертв. Для їх інфікування зловмисники використовують фішингові повідомлення з документами про останні події в Європі, такі як вторгнення росії в Україну. Зокрема один з файлів названий "Situation at the EU borders with Ukraine.exe".
В інших фішингових приманках згадуються оновлені обмеження на поїздки через COVID-19, затверджену карту регіональної допомоги для Греції та постанову Європейського парламенту та Ради. Фінальною приманкою є справжній документ, доступний на сайті Європейської Ради. Це свідчить про те, що APT-група, яка стоїть за цією шкідливою активністю, стежить за поточними подіями та може швидко на них реагувати.
"На основі подібності коду та багатьох спільних рис у тактиках, техніках та процедурах дослідники ESET з великою впевненістю приписують цю шкідливу активність групі Mustang Panda, яка також відома як TA416, RedDelta або PKPLUG. Це кібершпигунська група, яка переважно націлена на державні установи та неурядові організації, – пояснюють дослідники компанії ESET. – Жертви Mustang Panda здебільшого, але не виключно, знаходяться в Східній та Південно-Східній Азії з акцентом на Монголію. Група також відома своєю кампанією, спрямованою на Ватикан у 2020 році".
Хоча дослідники ESET не змогли визначити усіх жертв, ця шкідлива активність, ймовірно, має ті самі цілі, що й інші кампанії Mustang Panda. Більшість жертв групи знаходяться у Східній та Південно-Східній Азії, а також деякі в країнах Європи та Африки. За даними телеметрії ESET, переважна більшість цілей розташовано в Монголії та В’єтнамі, за ними слідує М’янма, і лише кілька в інших країнах, а саме в Греції, Кіпрі, росії, Південному Судані та Південній Африці. Серед жертв – дипломатичні місії, дослідницькі установи та Інтернет-провайдери.
В атаках Mustang Panda часто використовуються спеціальні завантажувачі для шкідливого програмного забезпечення, зокрема Cobalt Strike, Poison Ivy та Korplug (також відомий як PlugX). Відомо, що група також створює власні варіанти Korplug. "Порівняно з іншими атаками з застосуванням Korplug цього разу на кожному етапі процесу розгортання використовуються методи перешкоджання аналізу та заплутування, щоб ускладнити розслідування дослідниками шкідливих програм", – підсумовують спеціалісти ESET.
Детальний звіт про загрозу доступний за посиланням.
Про компанію:
ESET – експерт у сфері захисту від кіберзлочинності та цифрових загроз, міжнародний розробник рішень з ІТ-безпеки, провідний постачальник у галузі створення технологій виявлення загроз. Заснована у 1992 році, компанія ESET сьогодні має розширену партнерську мережу й представництва в більш ніж 180 країнах світу. Головний офіс компанії знаходиться у Братиславі, Словаччина.
ESET в Україні:
Понад 15 років продукти ESET офіційно представлені на території України. Починаючи з 2005 року, користувачі мають можливість безкоштовно звернутися за допомогою до служби технічної підтримки ESET в Україні, а також пройти курси навчання щодо використання продуктів компанії ESET. Користувачами ESET є найбільші українські та міжнародні компанії та організації.
Більш детальна інформація про компанію та продукти ESET доступна на українському офіційному сайті www.eset.com/ua/.
