«Только не путайте нас с русскими». Китайские хакеры решили уточнить свою национальность прямо внутри вируса
NewsMakerТема международной ситуации в Венесуэле послужила идеальной ширмой для атак.
Целевая кампания по кибершпионажу , направленная против правительственных структур США, была выявлена специалистами подразделения Acronis Threat Research Unit. Вредоносная активность осуществлялась с использованием архива в формате ZIP, содержащего исполняемый файл и скрытую библиотеку DLL. Распаковка архива инициировала выполнение DLL, которая функционировала как основной удалённый доступ под названием LOTUSLITE.
Распространение вредоносного инструмента происходило через файл с политическим названием, связанным с ситуацией в Венесуэле. Это совпадает с привычной для китайской кибергруппы Mustang Panda тактикой, ориентированной на актуальные международные повестки. Заражение начиналось с запуска подменённого исполняемого файла, маскирующегося под легитимное программное обеспечение, что приводило к незаметной загрузке вредоносной библиотеки.
Загруженный компонент представлял собой нестандартную DLL , предназначенную для сбора информации, организации постоянного присутствия в системе и выполнения команд злоумышленников. Программа поддерживает выполнение системных команд, создание и удаление файлов, а также формирует сетевые пакеты с использованием уникального идентификатора. При этом передача данных осуществлялась через HTTP-запросы с поддельными заголовками, имитирующими трафик от легитимных сервисов.
Компонент сохранял устойчивость на заражённом устройстве, создавая отдельный каталог и внося запись в реестр для автозапуска при входе пользователя в систему. Имя исполняемого файла и параметры запуска были изменены для маскировки под безвредное программное обеспечение.
Целевая кампания по кибершпионажу , направленная против правительственных структур США, была выявлена специалистами подразделения Acronis Threat Research Unit. Вредоносная активность осуществлялась с использованием архива в формате ZIP, содержащего исполняемый файл и скрытую библиотеку DLL. Распаковка архива инициировала выполнение DLL, которая функционировала как основной удалённый доступ под названием LOTUSLITE.
Распространение вредоносного инструмента происходило через файл с политическим названием, связанным с ситуацией в Венесуэле. Это совпадает с привычной для китайской кибергруппы Mustang Panda тактикой, ориентированной на актуальные международные повестки. Заражение начиналось с запуска подменённого исполняемого файла, маскирующегося под легитимное программное обеспечение, что приводило к незаметной загрузке вредоносной библиотеки.
Загруженный компонент представлял собой нестандартную DLL , предназначенную для сбора информации, организации постоянного присутствия в системе и выполнения команд злоумышленников. Программа поддерживает выполнение системных команд, создание и удаление файлов, а также формирует сетевые пакеты с использованием уникального идентификатора. При этом передача данных осуществлялась через HTTP-запросы с поддельными заголовками, имитирующими трафик от легитимных сервисов.
Компонент сохранял устойчивость на заражённом устройстве, создавая отдельный каталог и внося запись в реестр для автозапуска при входе пользователя в систему. Имя исполняемого файла и параметры запуска были изменены для маскировки под безвредное программное обеспечение.