Когда хакеры работают быстрее журналистов. Китайская группа Mustang Panda и ее любовь к горячим темам
NewsMakerХакеры научились подстраиваться под мировой хаос быстрее СМИ.
Специалисты Zscaler зафиксировали новую волну атак, связанную с китайской кибергруппой, которая сосредоточилась на странах Персидского залива. Кампания стартовала в первые сутки после обострения конфликта на Ближнем Востоке и быстро адаптировалась под новостную повестку, используя тему ракетных ударов как приманку.
Атака начиналась с ZIP-архива, внутри которого находился файл с двойным расширением, маскирующийся под PDF. После открытия запускалась цепочка загрузки вредоносных компонентов. Сначала система скачивала CHM-файл с удалённого сервера, затем извлекала дополнительные элементы, включая поддельный документ на арабском языке с описанием ракетной атаки Ирана по базе США в Бахрейне. Такой файл использовали для отвлечения внимания.
Дальнейшие этапы включали запуск второго ярлыка, распаковку архива в системную директорию и выполнение программы, имитирующей легитимное ПО. Через механизм подгрузки библиотек злоумышленники внедряли вредоносную DLL, которая закреплялась в системе и расшифровывала основной полезный код.
Ключевым элементом атаки стал бэкдор PlugX . Вредонос скрывали с помощью многоуровневого шифрования и запутанных алгоритмов, затрудняющих анализ. Код применял методы искажения логики выполнения и маскировал API-вызовы, что увеличивало время на разбор и снижало эффективность защитных решений.
Специалисты Zscaler зафиксировали новую волну атак, связанную с китайской кибергруппой, которая сосредоточилась на странах Персидского залива. Кампания стартовала в первые сутки после обострения конфликта на Ближнем Востоке и быстро адаптировалась под новостную повестку, используя тему ракетных ударов как приманку.
Атака начиналась с ZIP-архива, внутри которого находился файл с двойным расширением, маскирующийся под PDF. После открытия запускалась цепочка загрузки вредоносных компонентов. Сначала система скачивала CHM-файл с удалённого сервера, затем извлекала дополнительные элементы, включая поддельный документ на арабском языке с описанием ракетной атаки Ирана по базе США в Бахрейне. Такой файл использовали для отвлечения внимания.
Дальнейшие этапы включали запуск второго ярлыка, распаковку архива в системную директорию и выполнение программы, имитирующей легитимное ПО. Через механизм подгрузки библиотек злоумышленники внедряли вредоносную DLL, которая закреплялась в системе и расшифровывала основной полезный код.
Ключевым элементом атаки стал бэкдор PlugX . Вредонос скрывали с помощью многоуровневого шифрования и запутанных алгоритмов, затрудняющих анализ. Код применял методы искажения логики выполнения и маскировал API-вызовы, что увеличивало время на разбор и снижало эффективность защитных решений.