Китайских хакеров Deep Panda обвинили в применении новых опасных средств

Китайская хакерская группировка Deep Panda вернулась на сцену с новыми инструментами для кибератак, заявили в американской компании в области информационной безопасности FortiGuard Labs, 1 апреля сообщает американский портал новостей об информационных технологиях ZDNet.

Специалисты FortiGuard выявили активную эксплуатацию критической уязвимости в библиотеке журналирования Log4j 2, получившей название Log4Shell. Изучение применяемых средств и прочей информации об атаках вывело исследователей на Deep Panda.

Заявляется, что если раньше группировка атаковала, в основном, правительственные, оборонные и финансовые организации, а также отрасли здравоохранения и телекоммуникаций, то теперь целью стали компании в финансовой, туристической и косметической сферах.

Новый набор используемых средств пополнился не только сценарием автоматизации эксплуатации (эксплойтом) Log4Shell. Группа активно использует хорошо маскирующийся инструмент типа руткит Fire Chili.

Уязвимость Log4Shell и другие применяется для установки Fire Chili. В дальнейшем инструмент разворачивается, использую подпись компонентов с помощью украденного ранее сертификата одной из взломанных ранее компаний-разработчиков игр.

Инструмент разворачивается с учетом конкретных сборок операционной системы Windows. Пока не обнаружены факты использования на Windows 11, например. После развертывания инструмент маскирует свои процессы, записи в реестре и сетевые соединения. Процесс остается в системе и может быть использован для скрытой кражи данных и блокировки систем защиты от вредоносных программ.

Дополнительно на взломанных системах устанавливается средство обеспечения удаленного доступа Milestone. Это позволяет получить доступ к взломанной машине в дальнейшем, даже если использованная для взлома уязвимость будет исправлена.