Компания ESET выявила шпионскую активность группы киберпреступников Mustang Panda с использованием ранее неизвестной версии вредоносной программы Korplug. Злоумышленники используют в качестве приманки тему войны в Украине и другие актуальные европейские новости.

Среди известных жертв ― исследовательские организации, поставщики интернет-услуг и европейские дипломатические миссии, преимущественно расположенные в Восточной и Юго-Восточной Азии. Исследователи ESET назвали этот новый вариант Korplug ― Hodur ― из-за его схожести с вариантом THOR, выявленным в 2020 году. В скандинавской мифологии Гед (Hodur) является сводным братом Тора (Thor).

Вредоносное програмное обеспечение может удаленно выполнять команды киберпреступников и похищать информацию с устройств жертв. Для их заражения злоумышленники используют фишинговые сообщения с документами о последних событиях в Европе, таких как вторжение россии в Украину. В частности, один из файлов назван «Situation at the borders with Ukraine.exe».

В других фишинговых приманках упоминаются обновленные ограничения на поездки через COVID-19, утвержденную карту региональной помощи Греции и постановление Европейского парламента и Совета. Финальной приманкой является настоящий документ, доступный на сайте Европейского Совета. Это свидетельствует о том, что APT-группа, которая стоит за этой вредоносной активностью, следит за текущими событиями и может быстро на них реагировать.

«На основе сходства кода и многих общих черт в тактиках, техниках и процедурах исследователи ESET с большой уверенностью приписывают эту вредоносную активность группе Mustang Panda, также известной как TA416, RedDelta или PKPLUG. Это кибершпионская группа, которая преимущественно нацелена на государственные учреждения и неправительственные организации», — объясняют исследователи ESET. — Жертвы Mustang Panda в большинстве своем, но не исключительно, находятся в Восточной и Юго-Восточной Азии с акцентом на Монголию. Группа также известна своей кампанией, направленной на Ватикан в 2020 году».

Хотя исследователи ESET не смогли определить всех жертв, эта вредоносная активность, вероятно, имеет те же цели, что и другие кампании Mustang Panda. Большинство жертв группы находятся в Восточной и Юго-Восточной Азии, а также некоторые в странах Европы и Африки. По данным телеметрии ESET, подавляющее большинство целей расположено в Монголии и Вьетнаме, за ними следует Мьянма, и лишь несколько в других странах, а именно в Греции, Кипре, россии, Южном Судане и Южной Африке. Среди жертв — дипломатические миссии, исследовательские учреждения и Интернет-провайдеры.

В атаках Mustang Panda часто используются специальные загрузчики для вредоносного програмного обеспечения, в частности Cobalt Strike, Poison Ivy и Korplug (также известный как PlugX). Известно, что группа создает свои варианты Korplug. «В сравнении с другими атаками с применением Korplug на этот раз на каждом этапе процесса развертывания используются методы препятствования анализу и запутывание, чтобы усложнить расследование исследователями вредоносных программ», — заключают специалисты ESET.