25/05/22
Государственные китайские хакеры атаковали российские оборонно-исследовательские организации с помощью вредоносного ПО в рамках длительной шпионской кампании. Исследователи из компании Check Point Software уверенно приписывают эту кампанию китайской группировке, которую назвали Twisted Panda.
Новую группировку связывают с Stone Panda (она же APT 10, Cicada или Potassium) и Mustang Panda (она же Bronze President, HoneyMyte или RedDelta).
Расследование специалистов показало, что Twisted Panda атаковала холдинговые компании в составе "Ростеха" как минимум с июня 2021 года, а последняя попытка атаки была замечена в апреле 2022 года. Check Point заявила , что оборонные учреждения госкорпорации подвергались фишинговым кампаниям.
Фишинговые электронные письма, отправленные в оборонно-исследовательские организации, содержали ссылку на сайт злоумышленников, замаскированный под сайт Министерства здравоохранения России и вложение в виде вредоносного документа Word. Тема письма выглядела так: "Список лиц [название учреждения-жертвы], находящихся под санкциями США за вторжение в Украину".
Еще одно письмо с вредоносным документом, также выдаваемое за письмо от Министерства здравоохранения России, было отправлено неизвестной организации в Минске.
По словам Check Point, обнаруженные в документах вредоносные программы включают в себя сложный многоуровневый загрузчик и полезную нагрузку бэкдора SPINNER. Вредоносы постоянно обновляются и используют передовые методы уклонения от систем защиты и антианализа.
Специалисты считают целью Twisted Panda данные о системах радиоэлектронной борьбы, военном радиооборудовании и радиолокационных станциях воздушного базирования.
