Вредоносное ПО для Google Диска нацелено на правительства по всему миру
22 ноября 2022 г.Спонсируемый государством китайский субъект угроз, известный как Mustang Panda, нацелен на правительственные организации и исследователей по всему миру с тремя вариантами вредоносного ПО, размещенными на Google Диске, Dropbox и аналогичных ресурсах облачное хранилище.
Исследователи Trend Micro недавно обнаружили новый malware, ориентированная в основном на организации, расположенные в Австралии, Японии, Тайване, Мьянме и на Филиппинах.
Mustang Panda был запущен в марте 2022 года и продлится как минимум до октября. Злоумышленники создавали фишинговое электронное письмо и отправляли его на поддельный адрес, сохраняя фактическую жертву в CC. . Исследователи предполагают, что таким образом злоумышленники хотели свести к минимуму вероятность того, что их обнаружат антивирусные инструменты, средства защиты электронной почты решения и тому подобное.
Доставка вредоносных архивов
"Тема электронного письма может быть пустой или иметь то же имя, что и вредоносный архив", — говорится в отчете. «Вместо того, чтобы добавлять адреса жертв в заголовок электронной почты «Кому», злоумышленники использовали поддельные электронные письма. Между тем, настоящие адреса жертв были написаны в заголовке «CC», что, вероятно, ускользнуло от анализа безопасности и замедлило расследование. ."
Еще одна вещь, которую они предприняли, чтобы избежать обнаружения, — хранить вредоносное ПО в законных облачных хранилищах в файле .ZIP или .RAR, поскольку эти платформы обычно заносятся в белый список средствами безопасности. Однако если жертва попадется на эту уловку, загрузит и запустит файл архива, она получит эти три настраиваемых штамма вредоносного ПО: PubLoad, ToneIns и ToneShell.
> программа-вымогатель BlackByte теперь будет хранить ваши данные в облаке PubLoad — это промежуточный модуль, используемый для загрузки полезной нагрузки следующего этапа с сервера C2. Он также добавляет новые разделы реестра и запланированные задачи для обеспечения постоянства. ToneIns — это установщик ToneShell, основного бэкдора. Исследователи объяснили, что хотя этот процесс может показаться слишком сложным, он работает как механизм защиты от песочницы, поскольку бэкдор не будет выполняться в среде отладки. Основная задача вредоносного ПО — загрузка, скачивание и выполнение файлов. Среди прочего, он может создавать оболочки для обмена данными внутри сети или изменять конфигурацию сна. По словам исследователей, вредоносное ПО в последнее время получило несколько новых функций, предполагая, что Mustang Panda усердно работает, совершенствует свой инструментарий и становится все более опасным с каждым днем. Через: BleepingComputer
> Можно ли взломать облачное резервное копирование и защищено ли оно от атак программ-вымогателей?
> Вот лучшие брандмауэры на данный момент
Оригинал