Китайские хакеры атакуют европейские организации с помощью нового бэкдора MQsTTang.
Проправительственная APT Mustang Panda, также известная как TA416 или Bronze President, представляет собой кибершпионскую группировку, которая осуществляет атаки для кражи данных по всему миру с использованием модифицированных вариантов вредоносного ПО PlugX.
Однако недавно замеченная вредоносная программа-бэкдор MQsTTang не похожа ни на одну ранее известную и позволяет предположить, что хакеры создали ее, дабы избежать обнаружения и скрыть свою причастность к атакам.
Кампанию с MQsTTang обнаружили исследователи ESET в начале января 2023 года, которая до сих пор остается активной.
Атаки в основном ориентированы на правительственные и политические организации в Европе и Азии, причем в первую очередь, на Тайвань и Украину.
Известно, что Mustang Panda и ранее была нацелена на европейские правительственные организации по меньшей мере с 2020 года, но, со слов специалистов, группировка еще больше усилила свою активность в Европе после начала СВО.
ESET характеризует MQsTTang как относительно «простой» бэкдор, который позволяет злоумышленникам удаленно выполнять команды на хосте жертвы.
Он представляет собой своего рода удаленную оболочку без каких-либо элементов, связанных с другими семействами вредоносных программ этой группы. По сути, это одноэтапный бэкдор без каких-либо методов обфускации.
При запуске малварь создает свою копию с аргументом командной строки, которая выполняет различные задачи, например запуск связи C2, создание постоянства и т.д.
Постоянство устанавливается путем добавлением нового ключа реестра в «HKCU\Software\Microsoft\Windows\CurrentVersion\Run», который запускает вредоносное ПО при старте системы. После перезапуска выполняется только задача связи с C2.
Особенностью этого бэкдора является использование протокола MQTT (протокол обмена сообщениями IoT) для связи с сервером управления и контроля. MQTT обеспечивает устойчивость вредоносных программ к удалению C2, скрывает инфраструктуру злоумышленника и снижает вероятность ее обнаружения.
Чтобы остаться незамеченным и избежать обнаружения, MQsTTang проверяет наличие средств отладки или средств мониторинга на центральном компьютере. Если вдруг такие инструменты будут обнаружены, малварь поменяет свое поведение.
В настоящее время нет однозначного мнения, был ли бэкдор MQsTTang разработан для проведения конкретной вредоносной кампании или он останется в арсенале Mustang Panda.
Тем не менее сам факт его наличия говорит об усилении возможностей и поиске новых тактик группировки для проведения новых злонамерных кампаний.
• Source: https://www.welivesecurity.com/2023...da-latest-backdoor-treads-new-ground-qt-mqtt/
Проправительственная APT Mustang Panda, также известная как TA416 или Bronze President, представляет собой кибершпионскую группировку, которая осуществляет атаки для кражи данных по всему миру с использованием модифицированных вариантов вредоносного ПО PlugX.
Однако недавно замеченная вредоносная программа-бэкдор MQsTTang не похожа ни на одну ранее известную и позволяет предположить, что хакеры создали ее, дабы избежать обнаружения и скрыть свою причастность к атакам.
Кампанию с MQsTTang обнаружили исследователи ESET в начале января 2023 года, которая до сих пор остается активной.
Атаки в основном ориентированы на правительственные и политические организации в Европе и Азии, причем в первую очередь, на Тайвань и Украину.
Известно, что Mustang Panda и ранее была нацелена на европейские правительственные организации по меньшей мере с 2020 года, но, со слов специалистов, группировка еще больше усилила свою активность в Европе после начала СВО.
ESET характеризует MQsTTang как относительно «простой» бэкдор, который позволяет злоумышленникам удаленно выполнять команды на хосте жертвы.
Он представляет собой своего рода удаленную оболочку без каких-либо элементов, связанных с другими семействами вредоносных программ этой группы. По сути, это одноэтапный бэкдор без каких-либо методов обфускации.
При запуске малварь создает свою копию с аргументом командной строки, которая выполняет различные задачи, например запуск связи C2, создание постоянства и т.д.
Постоянство устанавливается путем добавлением нового ключа реестра в «HKCU\Software\Microsoft\Windows\CurrentVersion\Run», который запускает вредоносное ПО при старте системы. После перезапуска выполняется только задача связи с C2.
Особенностью этого бэкдора является использование протокола MQTT (протокол обмена сообщениями IoT) для связи с сервером управления и контроля. MQTT обеспечивает устойчивость вредоносных программ к удалению C2, скрывает инфраструктуру злоумышленника и снижает вероятность ее обнаружения.
Чтобы остаться незамеченным и избежать обнаружения, MQsTTang проверяет наличие средств отладки или средств мониторинга на центральном компьютере. Если вдруг такие инструменты будут обнаружены, малварь поменяет свое поведение.
В настоящее время нет однозначного мнения, был ли бэкдор MQsTTang разработан для проведения конкретной вредоносной кампании или он останется в арсенале Mustang Panda.
Тем не менее сам факт его наличия говорит об усилении возможностей и поиске новых тактик группировки для проведения новых злонамерных кампаний.
• Source: https://www.welivesecurity.com/2023...da-latest-backdoor-treads-new-ground-qt-mqtt/
