Китайская хакерская группа Mustang Panda, занимающаяся кибершпионажем, была замечена в развертывании нового пользовательского бэкдора под названием «MQsTTang».
Mustang Panda — это группа злоумышленников, нацеленная на организации в разных сферах по всему миру. В своих атаках, направленных в первую очередь на кражу информации, киберпреступники используют настраиваемые версий вредоносного ПО PlugX. Группировка также известна как TA416 и Bronze President.
Новый бэкдор MQsTTang от Mustang Panda, похоже, не основан на известных вредоносных программах. Данный факт указывает на то, что хакеры, скорее всего, разработали MQsTTang с нуля, чтобы затруднить обнаружение вредоноса антивирусными продуктами.
Исследователи ESET обнаружили MQsTTang в ходе вредоносной кампании, нацеленной на правительственные и политические организации в Европе и Азии. Она началась в январе 2023 года и продолжается до сих пор.
Распространение вредоносного ПО происходит через фишинговые электронные письма, а В контексте кибербезопасности «полезная нагрузка» — это часть вредоносного программного обеспечения, которая производит деструктивные действия с данными, копирование информации с заражённого компьютера и т.д. (в отличие от транспортной части/инфекционной части, которая занимается доставкой и заражением устройства).
» data-html=»true» data-original-title=»Полезная нагрузка»>полезная нагрузка загружается из репозиториев GitHub, созданных пользователем, связанным с предыдущими кампаниями Mustang Panda. Вредоносная программа представляет собой один и тот же исполняемый файл внутри различных «.rar»-архивов. Архивы в своих названиях придерживаются дипломатической тематики.
ESET характеризует MQsTTang как «базовый» бэкдор, позволяющий злоумышленникам удаленно выполнять команды на компьютере жертвы. При запуске вредоносная программа создает свою копию с повышенными привилегиями, которая выполняет различные задачи, такие как установление связи с C2-сервером, настройка постоянства в системе жертвы и т.д.
В начале февраля мы уже писали о Mustang Panda. Тогда специалисты компании EclecticIQ — это нидерландская компания, занимающаяся разработкой продуктов в области кибербезопасности. Она предлагает платформу для управления угрозами и аналитические инструменты для защиты от киберугроз. Целевая аудитория — это крупные предприятия и правительственные организации.
» data-html=»true» data-original-title=»EclecticIQ»>EclecticIQ раскрыли их вредоносную кампанию с использованием «.iso»-образов, содержащими вредоносные ярлыки.
Необычной характеристикой нового бэкдора является использование протокола Message Queuing Telemetry Transport (MQTT) — это протокол связи для Интернета вещей (Internet of Things, IoT) и межмашинного взаимодействия (M2M).
Он был разработан как легковесный и надежный протокол для использования в условиях низкой пропускной способности сети и ограниченной мощности устройств.
MQTT использует клиент-серверную архитектуру и позволяет устройствам обмениваться данными посредством очередей сообщений.
Протокол поддерживает использование нескольких топиков для обмена данными, а так же обеспечивает надежность доставки сообщений и продвинутые механизмы управления качеством связи.