В Центральной и Южной Азии замечена приличная «заброска» — свежая вариация PlugX, которая ведёт себя как старый добрый RAT, но в новой шкуре: заигрывает с конфигами, которые больше похожи на RainyDay и Turian, подгружает DLL через легитимные бинарники и шифрует payload’ы знакомыми приёмами XOR-RC4-RtlDecompressBuffer. Другими словами, старые приёмы в новой упаковке — классика жанра, но с апгрейдом от тех, кто любит поковыряться в чужих коробках. Похоже, кто-то либо делится инструментарием по подписке, либо просто копирует удачные рецепты — в любом случае выглядит как кооперативный хаос, а не какой-то одинокий скрипт-кидди.
Цели — не шуточные: телекоммуникационные компании и производственные площадки. Атаки строятся через DLL side-loading: злоумышленники находят подходящий «легитимный» exe, подсовывают к нему вредную DLL и запускают код прямо в памяти, оставляя минимум следов на диске. В некоторых образцах замечен кейлоггер и прочие неприятные модули — то есть не просто разведка, а вариант «оставаться подольше и пожить в хозяйстве».
Параллельно Mustang Panda не спит и подкидывает своё творение — Bookworm. Эта штука модульная до мозга костей: базовый Leader тянет дополнительные DLL с C2 и подгружает фичи по требованию. Новые фишки — упаковка шеллкода в UUID-строки, которые потом декодятся и исполняются; мелочь, но для статического анализа — настоящий головняк. Bookworm играет аккуратно: маскируется под нормальный трафик, использует легитимные домены или скомпрометированную инфраструктуру, чтобы не светиться перед защитой сети.
Если смотреть по техникам и целям, прослеживается явный overlap между Naikon (Lotus Panda), BackdoorDiplomacy и теми, кто рулит Mustang Panda — либо это одна большая контора с разделением ролей, либо у всех один и тот же «поставщик» инструментов. В любом случае повторное использование ключей, одинаковые методы шифрования и общие интересы в телекомах выглядят как "мы работаем по шаблону" — не романтика, а промышленная эксплуатация.
Вывод для жертв и защитников — не паниковать, но не засыпать: следить за аномалиями в сети, проверять процессы на предмет DLL side-loading, мониторить исходящие соединения на неожиданные домены и иметь план на случай, если кто-то уже «пожилёт» у вас в инфраструктуре. А тем, кто любит драму: ребята, вы молодцы в плане креатива, но пора понять, что гиг-экономика шпионского софта теперь приносит много внимания — и контрмеры тоже не дремлют.
Берегите себя и свои нервы.
📘 Понравилась статья?
Больше практики и реальных заданий — в Kraken Academy.
А чтобы точно ничего не пропустить — подпишись на наш Telegram-канал.
