29/04/22
Финансируемая правительством Китая киберпреступная группировка, атаковавшая европейские дипломатические миссии в марте нынешнего года, теперь переключилась на российских чиновников. В своих атаках хакеры используют обновленную версию трояна для удаленного доступа PlugX.
По данным специалистов ИБ-компании Secureworks, за атаками стоит киберпреступная группировка, отслеживаемая ими как Bronze President. Мировому ИБ-сообществу она известна под названиями Mustang Panda, TA416, HoneyMyte, RedDelta и PKPLUG.
Bronze President активна как минимум с июля 2018 года и специализируется на шпионаже с использованием как кастомных, так и общедоступных инструментов для взлома, обеспечения продолжительного доступа к скомпрометированным системам и сбора данных.
Одним из главных инструментов группировки является PlugX – бэкдор для Windows, позволяющий хакерам выполнять на скомпрометированных системах различные команды. PlugX также входит в арсенал еще нескольких работающих на Китай хакерских группировок.
В ходе атак на российских чиновников Bronze President рассылает им фишинговые письма с вредоносным исполняемым файлом «Благовещенск - Благовещенский пограничный отряд.exe», замаскированным под PDF-документ. Этот документ написан на английском языке и выглядит весьма убедительно, но после его открытия в конечном итоге на систему жертвы с удаленного сервера загружается PlugX.
