Una pericolosa nuova collettiva pirateria nota come Mustang Panda sta sfruttando documenti macro-infettati per indirizzare gli utenti di tutto il mondo. La campagna su larga scala sembra essere contro entrambi i settori pubblico e privato. Al momento non ci sono informazioni disponibili circa le intenzioni e l'identità degli hacker.
I documenti infetti utilizzato da New Hacking gruppo chiamato Mustang Panda
Un nuovo gruppo di hacking che è stata a noi sconosciuta fino ad ora è stato trovato per distribuire i vari documenti macro-infettati contro gli utenti. Gli hacker sembrano provenire dalla Cina e le reti mirati comprendono sia gli utenti privati e aziende pubbliche. Gli attacchi sono globali e non sono limitati solo alla Cina. Quello che sappiamo è che il gruppo originariamente iniziato per diffondere malware lo scorso anno, ma ha da allora aggiornato i loro tattiche per includere nuove procedure. Alcuni degli obiettivi confermati sono i seguenti: Cina Centro (organizzazione non profit), partito politico Vietnam e residenti da sud-est asiatico. I paesi che sono stati mirati includono Mongolia, Germania, Myanmar, Vietnam e il Pakistan.
Gli hacker si sono concentrati sull'utilizzo tecniche di social engineering per manipolare i bersagli ad aprire i documenti infetti. Questo di solito è il caso di messaggi di posta elettronica che includono script e contenuti pericolosi. Nella maggior parte dei casi essi impersonare aziende o servizi noti e comprenderà gli script necessari. A seconda della tecnica precisa i file pericolosi possono essere sia attaccati o legati nei contenuti.
Alla fine gli obiettivi riceveranno un file zip che conterrà un file .lnk all'interno mascherato con una doppia estensione. Se l'archivio viene aperto e i file inclusi vengono avviati verrà installato il malware in questione. Nelle campagne di attacco analizzati ci sono stati due payload principali che vengono consegnati alle vittime:
- Cobalt Sciopero Beacon - Si tratta di un payload pericoloso che può essere altamente personalizzate per i diversi attacchi. Comunemente viene utilizzato per raccogliere informazioni su Internet e può essere utilizzato per la sorveglianza degli utenti vittima. Un sacco di sua funzionalità è focalizzata sul dare i criminali la possibilità di eseguire i propri ordini, recuperare le informazioni ed i dati, nonché modificare la configurazione del sistema.
- PlugX Trojan - Questo è un Trojan potente che è stato conosciuto per noi per almeno diversi anni. Si è giunti attraverso diversi aggiornamenti e versioni ed è composto da diversi moduli. Può essere utilizzato per prendere il controllo della macchina compromessa e consentire i controllori degli hacker di dirottare le informazioni di cui uno personali. Cosa c'è di più pericoloso è la possibilità di spiare gli utenti in qualsiasi momento e manipolare il sistema in tutti i modi possibili.
Tali attacchi sono probabilmente continuerà in futuro con una campagna ancora più grande. Il collettivo criminale sembra avere le risorse al fine di indirizzare tali reti. Prevediamo che possono usare altre tattiche o espandere la loro esperienza con l'ingegneria sociale e phishing.
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: