中国黑客使用俄乌战争诱饵攻击亚太地区和欧洲实体

与中国有关的民族国家黑客组织被称为野马熊猫正在使用与正在进行的俄乌战争有关的诱饵攻击欧洲和亚太地区的实体。

黑莓研究和情报团队分析了一份名为“欧盟对俄罗斯新做法的政治指导”的RAR档案文件。其中一些目标国家包括越南、印度、巴基斯坦、肯尼亚、土耳其、意大利和巴西。

野马熊猫是一个来自中国的多产网络间谍组织，也以青铜总统、地球Preta、HoneyMyte、RedDelta和红巫妖的名字被追踪。

据Secureworks的威胁简介，据信，该公司至少自2018年7月以来一直处于活跃状态，尽管有迹象表明，该威胁行为体早在2012年就已将全球实体作为目标。

众所周知，Mustang Panda严重依赖通过钓鱼电子邮件发送武器化附件来实现初始感染，入侵最终导致部署PlugX远程访问木马。

然而，该组织最近针对亚太地区政府、教育和研究部门发起的矛式网络钓鱼攻击涉及PUBLOAD、TONEINS和TONESHELL等自定义后门，这表明其恶意软件库正在扩大。

黑莓（BlackBerry）的最新发现表明，尽管野马熊猫（Mustang Panda）继续利用地缘政治事件为其带来优势，但核心感染过程基本保持不变，这与谷歌（Google）和Proofpoint之前的报告相呼应。

诱饵存档中包含Microsoft Word文件的快捷方式，该文件利用DLL侧加载；今年早些时候，针对缅甸的袭击也采用了这种技术；在显示文档内容之前，在内存中启动PlugX的执行。

“他们的攻击链与继续使用存档文件、快捷方式文件、恶意加载程序和使用PlugX恶意软件保持一致，尽管他们的传送设置通常是按地区/国家定制的，以引诱受害者执行其有效载荷，希望以间谍为目的建立持久性，”黑莓的Dmitry Bestuzhev告诉《黑客新闻》。

Bestuzhev表示，在攻击和Trend Micro上个月披露的入侵集之间没有发现战术重叠，这表明对手有能力切换最终有效载荷，而不会偏离其交付机制和部署方法。

Bestuzhev进一步补充道：“众所周知，他们会使用现有的恶意软件更改和更新自己的核心工具集，并开发自己的定制工具”。“他们能够做到这一点，也表明了他们所拥有的资源水平、成熟度和专业知识”。