Компанія ESET ― лідер у галузі інформаційної безпеки ― попереджає про виявлення нової шпигунської активності групи кіберзлочинців Mustang Panda з використанням раніше невідомої версії шкідливої програми Korplug. Зловмисники використовують як приманку тему війни в Україні та інші актуальні європейські новини.
Серед відомих жертв – дослідницькі організації, постачальники Інтернет-послуг та європейські дипломатичні місії, які переважно розташовані у Східній та Південно-Східній Азії. Дослідники ESET назвали цей новий варіант Korplug ― Hodur ― через його схожість з варіантом THOR, виявленим у 2020 році. У скандинавській міфології Гед (Hodur) є зведеним братом Тора (Thor).
Шкідлива програма може віддалено виконувати команди кіберзлочинців та викрадати інформацію з пристроїв жертв. Для їх інфікування зловмисники використовують фішингові повідомлення з документами про останні події в Європі, такі як вторгнення росії в Україну. Зокрема один з файлів названий «Situation at the EU borders with Ukraine.exe».
В інших фішингових приманках згадуються оновлені обмеження на поїздки через COVID-19, затверджену карту регіональної допомоги для Греції та постанову Європейського парламенту та Ради. Фінальною приманкою є справжній документ, доступний на сайті Європейської Ради. Це свідчить про те, що APT-група, яка стоїть за цією шкідливою активністю, стежить за поточними подіями та може швидко на них реагувати.
«На основі подібності коду та багатьох спільних рис у тактиках, техніках та процедурах дослідники ESET з великою впевненістю приписують цю шкідливу активність групі MustangPanda, яка також відома як TA416, RedDelta або PKPLUG. Це кібершпигунська група, яка переважно націлена на державні установи та неурядові організації, — пояснюють дослідники компанії ESET. — Жертви MustangPandaздебільшого, але не виключно, знаходяться в Східній та Південно-Східній Азії з акцентом на Монголію. Група також відома своєю кампанією, спрямованою на Ватикан у 2020 році».
Хоча дослідники ESET не змогли визначити усіх жертв, ця шкідлива активність, ймовірно, має ті самі цілі, що й інші кампанії Mustang Panda. Більшість жертв групи знаходяться у Східній та Південно-Східній Азії, а також деякі в країнах Європи та Африки. За даними телеметрії ESET, переважна більшість цілей розташовано в Монголії та В’єтнамі, за ними слідує М’янма, і лише кілька в інших країнах, а саме в Греції, Кіпрі, росії, Південному Судані та Південній Африці. Серед жертв ― дипломатичні місії, дослідницькі установи та Інтернет-провайдери.
В атаках Mustang Panda часто використовуються спеціальні завантажувачі для шкідливого програмного забезпечення, зокрема Cobalt Strike, Poison Ivy та Korplug (також відомий як PlugX). Відомо, що група також створює власні варіанти Korplug. «Порівняно з іншими атаками з застосуванням Korplug цього разу на кожному етапі процесу розгортання використовуються методи перешкоджання аналізу та заплутування, щоб ускладнити розслідування дослідниками шкідливих програм», — підсумовують спеціалісти ESET.
Детальний звіт про загрозу доступний за посиланням.