Κινέζοι hackers «ψαρεύουν» Ευρωπαίους διπλωμάτες

Σύμφωνα με μια νέα έκθεση της Proofpoint, η κινεζική ομάδα hacking TA416 ή Mustang Panda επικεντρώνεται σε επιχειρήσεις κυβερνοκατασκοπείας μέσω phising που στοχεύουν σε κυβερνητικές υπηρεσίες της Ε.Ε., ήδη από το 2020. Οι πιο πρόσφατες phishing επιθέσεις προσπαθούν να ξεγελάσουν τα θύματα με θέματα που σχετίζονται με τη ρωσική εισβολή στην Ουκρανία. Το άτομο του οποίου ο λογαριασμός παραβιάστηκε, εργαζόταν σε υπηρεσίες προσφύγων και μεταναστών, ένας τομέας που πρόσφατα έγινε στόχος Λευκορώσων hackers.

Τα κακόβουλα e-mails χρησιμοποιούσαν ένα DropBox URL που παρέδιδε μια παραλλαγή του κακόβουλου λογισμικού PlugX. Το ίδιο malware είχε χρησιμοποιηθεί ξανά σε επιθέσεις εναντίον οργανισμών στην Αυστραλία.

Στις 17 Ιανουαρίου 2022, η Proofpoint παρατήρησε νέες προσπάθειες παράδοσης του malware, μέσω αρχείων ZIP με προσαρμοσμένη ονομασία για να ταιριάζουν με τα ενδιαφέροντα του στόχου. Μια αλλαγή στην τακτική των hackers ήταν ότι τα αρχεία ZIP δεν ελήφθησαν από μια υπηρεσία cloud hosting, αλλά χρησιμοποιήθηκε ένα dropper malware executable.

Τα τέσσερα components που ελήφθησαν με αυτόν τον τρόπο ήταν το κακόβουλο λογισμικό PlugX, το loader του, το DLL search order hijacker (process loader) και ένα αρχείο-δόλωμα PDF.

Τεύχος 27