专家发现中国“野马熊猫”黑客新的间谍袭击

总部位于中国的威胁行为体野马熊猫据观察，该公司对其战术和恶意软件进行了改进和重组，以打击位于亚洲、欧盟、俄罗斯和美国的实体。

Cisco Talos在一份新的报告中详细介绍了该组织不断演变的运作方式，称“野马熊猫”是一个积极性很高的APT组织，主要依靠使用时事诱饵和社会工程诱骗受害者感染自己。

据悉，至少自2012年以来，该组织针对范围广泛的组织，参与者主要依靠基于电子邮件的社会工程获得对drop PlugX的初始访问权，drop PlugX是一个主要用于长期访问的后门。

此次活动发布的网络钓鱼消息包含恶意诱饵，伪装成欧盟关于乌克兰持续冲突的官方报告或乌克兰政府报告，这两份报告都将恶意软件下载到受损机器上。

此外，还观察到针对美国和缅甸、香港、日本和台湾等几个亚洲国家的不同实体的网络钓鱼信息。

安全工厂（Secureworks）最近的一份报告称，该组织可能使用一种含有PlugX的诱饵，将自己伪装成布拉戈维申斯克边境分遣队的报告，以俄罗斯政府官员为目标。

但在2022年3月底检测到的类似攻击表明，参与者正在通过减少用于获取感染链不同组成部分的远程URL来更新策略。

除了PlugX之外，APT集团使用的感染链还包括部署定制Stager、反向炮弹、基于Meterpreter的外壳代码和Cobalt Strike，所有这些都用于建立对目标的远程访问，以进行间谍活动和信息窃取。

塔洛斯的研究人员说：“通过在亚洲和欧洲使用峰会和会议主题的诱饵，攻击者旨在获得尽可能多的长期访问权限，以进行间谍活动和信息窃取”。