Кибершпионы внедрили бэкдор в сайт президента Мьянмы

Чт 3 Июнь 2021 07:56

Специалисты ИБ-компании ESET обнаружили , что кибершпионская группа взломала web-сайт президента Мьянмы и внедрила бэкдор в пакет бирманского шрифта, доступного для скачивания на главной странице сайта.

По словам исследователей, использовавшееся в атаке вредоносное ПО имеет схожие черты с вредоносной программой, использовавшейся ранее в фишинговых кампаниях, проводимых против жертв в Мьянме китайскими правительственными хакерами, в том числе группировками Mustang Panda, RedEcho и Bronze President.

Mustang Panda известна своими тщательно подготовленными фишинговыми атаками. В данной конкретной кампании группировка модифицировала пакет шрифтов Юникода, который пользователи могут загружать с сайта президента Мьянмы. Злоумышленники добавили в архив загрузчик Cobalt Strike под названием Acrobat.dll, загружающий shell-код Cobalt Strike. Загрузчик пингует C&C-сервер по адресу 95.217.1[.]81.

Скрытые в файлах архивы с именами “NUG Meeting Report.zip”, “Proposed Talking Points for ASEAN-Japan Summit.rar”, “MMRS Geneva”, “2021-03-11.lnk” и “MOHS-3-covid.rar” свидетельствуют о продвинутой, скрытой кибершпионской операции. Действительно ли за ней стоит группировка Mustang Panda, исследователям еще предстоит подтвердить.

Описанный исследователями инцидент является вторым случаем, когда офис президента Мьянмы был взломан с целью проведения атак типа watering hole. Первый инцидент произошел в период с ноября 2014 года по май 2015 года, когда другая предполагаемая китайская кибершпионская группа использовала сайт для распространения версии вредоносного ПО EvilGrab.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 133 дня 21 минута 51 секунда
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.