Китайская группировка Override Panda вернулась с новыми шпионскими атаками

"Китайская APT-группа использовала фишинговое электронное письмо для отправки маячка фреймворка Red Team, известного как Viper”, – говорится в отчете компании Cluster25, опубликованном на прошлой неделе. "Цель этой атаки в настоящее время неизвестна, но учитывая предыдущую историю атак, совершенных группой, целью атаки с огромной вероятностью может быть правительственное учреждение одной из стран Южной Азии".

Цепочки атак, проводимые злоумышленниками, включают в себя использование документов-обманок, прикрепленных к фишинговым электронным письмам. Цель таких писем – убедить жертву открыть вложение и заразить свое устройство вредоносным ПО.

В апреле прошлого года группа участвовала в крупномасштабной кампании по кибершпионажу, направленной на военные организации в Юго-Восточной Азии. Затем в августе 2021 года Override Panda (также известная как Naikon , Hellsing и Bronze Geneva) была признана причастной к кибератакам на телекоммуникационный сектор азиатского региона в конце 2020 года.

Последняя атака, замеченная Cluster25, ничем не отличается от других, поскольку в ней используется документ Microsoft Office для запуска цепочки заражения, включающей загрузчик, предназначенный для запуска шелл-кода, который внедряет маячок Viper.

Доступный для загрузки с GitHub, Viper описывается как "графический инструмент для проникновения в интранет, модулирующий и улучшающий тактику и технологии, обычно используемые во время внедрения во внутреннюю сеть".

По словам экспертов, эта структура подобна Cobalt Strike и включает в себя более 80 модулей для облегчения первоначального доступа, сохраняемости внутри системы, повышения привилегий, доступа к учетным данным, бокового перемещения и выполнения произвольных команд.

"Наблюдая за хакерским арсеналом Override Panda, мы сделали вывод, что кибершпионы способны проводить долгосрочные операции по разведке и шпионажу, что типично для APT, готовящей атаки на иностранные правительства и чиновников", – отметили исследователи. "Чтобы избежать обнаружения и максимизировать результат, Override Panda со временем меняла различные тактики, техники, процедуры и инструменты".