Κινέζοι hackers, γνωστοί με την ονομασία TA416 ή Mustang Panda, στοχεύουν συνεχώς Ευρωπαίους διπλωμάτες με phishing emails, από τον Αύγουστο του 2020. Οι πιο πρόσφατες phishing επιθέσεις προσπαθούν να ξεγελάσουν τα θύματα με θέματα που σχετίζονται με τη ρωσική εισβολή στην Ουκρανία.
Δείτε επίσης: Microsoft Patch Tuesday Μαρτίου 2022: Ποιες ευπάθειες διορθώνει;
Σύμφωνα με μια νέα έκθεση της Proofpoint, η hacking ομάδα TA416 επικεντρώνεται σε επιχειρήσεις κυβερνοκατασκοπείας που στοχεύουν την ΕΕ.
Διατηρώντας τα ίδια εργαλεία και τακτικές από το 2020 και ανανεώνοντας μόνο τα θέματα των phishing emails και κάποια μικρά στοιχεία, οι ερευνητές μπόρεσαν εύκολα να αποδώσουν τις επιθέσεις σε αυτούς τους hackers.
Κινέζοι hackers επιτίθενται σε Ευρωπαίους διπλωμάτες εδώ και περίπου δύο χρόνια
Ξεκινώντας τον Αύγουστο του 2020, οι Κινέζοι hackers έστελναν phishing emails τα οποία υποτίθεται ότι προέρχονταν από οργανισμούς που εδρεύουν στην ΕΕ. Στόχοι των επιθέσεων ήταν κυβερνητικές υπηρεσίες στην Ευρώπη.
Τα κακόβουλα emails χρησιμοποιούσαν ένα DropBox URL για να παραδώσουν μια παραλλαγή του κακόβουλου λογισμικού PlugX. Αυτό το malware είχε προηγουμένως χρησιμοποιηθεί σε επιθέσεις εναντίον οργανισμών στην Αυστραλία.
Δείτε επίσης: SharkBot: Εξάπλωση μέσω ψεύτικου Android Antivirus App στο Google Play Store
Τον Νοέμβριο του 2021, οι Κινέζοι hackers πρόσθεσαν κρυφά image trackers στα email για να επικυρώσουν το άνοιγμα των μηνυμάτων και να ακολουθήσουν μια πιο στοχευμένη προσέγγιση.
Στις 17 Ιανουαρίου 2022, η Proofpoint παρατήρησε νέες προσπάθειες παράδοσης του malware, που χρησιμοποιούσαν αρχεία ZIP και είχαν προσαρμοσμένη ονομασία για να ταιριάζουν με τα ενδιαφέροντα του στόχου.
Σύμφωνα με τους ερευνητές, μια αλλαγή στην τακτική των hackers ήταν ότι τα αρχεία ZIP δεν ελήφθησαν από μια υπηρεσία cloud hosting. Χρησιμοποιήθηκε ένα dropper malware executable.
Τα τέσσερα components που ελήφθησαν με αυτόν τον τρόπο ήταν το κακόβουλο λογισμικό PlugX, το loader του, το DLL search order hijacker (process loader) και ένα αρχείο-δόλωμα PDF.
Τελικά, στις 28 Φεβρουαρίου 2022, οι Κινέζοι hackers φαίνεται να χρησιμοποίησαν μια παραβιασμένη διεύθυνση διπλωμάτη για να στοχεύσουν άλλους υψηλόβαθμους αξιωματούχους των χωρών του ΝΑΤΟ. Το θέμα που χρησιμοποίησαν οι επιτιθέμενοι στα phishing emails είχε να κάνει με τη ρωσική εισβολή στην Ουκρανία.
Το άτομο του οποίου ο λογαριασμός παραβιάστηκε, εργαζόταν σε υπηρεσίες προσφύγων και μεταναστών, ένας τομέας που πρόσφατα έγινε στόχος Λευκορώσων hackers.
Δείτε επίσης: Σφάλμα στο Linux δίνει δικαιώματα root σε όλες τις μεγάλες διανομές
Μικρές αλλαγές
Ενώ οι μέθοδοι παράδοσης κακόβουλου λογισμικού, εγκατάστασης και φόρτωσης παραμένουν σταθερές σε όλες τις καμπάνιες, οι Κινέζοι hackers καταβάλλουν κάποια προσπάθεια για να αλλάζουν τακτικά τα components που χρησιμοποιούνται.
Ωστόσο, πάρα πολλά στοιχεία είναι κοινά στις phishing καμπάνιες από το 2020 έως το 2022.
Η Proofpoint εκτιμά ότι η ομάδα θα συνεχίσει τη δράση της και επομένως συνιστάται επαγρύπνηση και καλές πρακτικές ασφάλειας email για την πρόληψη τέτοιων επιθέσεων.
Πηγή: Bleeping Computer