03/06/21
Специалисты ИБ-компании ESET обнаружили , что кибершпионская группа взломала web-сайт президента Мьянмы и внедрила бэкдор в пакет бирманского шрифта, доступного для скачивания на главной странице сайта.
По словам исследователей, использовавшееся в атаке вредоносное ПО имеет схожие черты с вредоносной программой, использовавшейся ранее в фишинговых кампаниях, проводимых против жертв в Мьянме китайскими правительственными хакерами, в том числе группировками Mustang Panda, RedEcho и Bronze President.
Mustang Panda известна своими тщательно подготовленными фишинговыми атаками. В данной конкретной кампании группировка модифицировала пакет шрифтов Юникода, который пользователи могут загружать с сайта президента Мьянмы. Злоумышленники добавили в архив загрузчик Cobalt Strike под названием Acrobat.dll, загружающий shell-код Cobalt Strike. Загрузчик пингует C&C-сервер по адресу 95.217.1[.]81.
Скрытые в файлах архивы с именами “NUG Meeting Report.zip”, “Proposed Talking Points for ASEAN-Japan Summit.rar”, “MMRS Geneva”, “2021-03-11.lnk” и “MOHS-3-covid.rar” свидетельствуют о продвинутой, скрытой кибершпионской операции. Действительно ли за ней стоит группировка Mustang Panda, исследователям еще предстоит подтвердить.
Описанный исследователями инцидент является вторым случаем, когда офис президента Мьянмы был взломан с целью проведения атак типа watering hole. Первый инцидент произошел в период с ноября 2014 года по май 2015 года, когда другая предполагаемая китайская кибершпионская группа использовала сайт для распространения версии вредоносного ПО EvilGrab.
