محققان از Proofpoint مشاهده کردند که بازیگر APT TA416 پس از وقفه ای کوتاه همزمان با روز ملی چین در ماه سپتامبر ، فعالیت مخرب خود را با نسخه جدیدی از بدافزار آغاز کرد.
TA416 ، همچنین به عنوان “موستانگ پاندا” و “دلتای سرخ” شناخته می شود ، یک گروه چینی APT (تهدید ثابت پیشرفته) است که از PlugX کم خود برای بارگذاری در مبارزات هدفمند استفاده می کند. این گروه به دلیل تغییر مجموعه ابزارهای خود برای جلوگیری از شناسایی و پیچیده کردن تجزیه و تحلیل توسط محققان امنیتی شناخته شده است.
Proofpoint در حال نظارت بر فعالیت های جدید فیشینگ توسط TA416 است که نهادهای مرتبط با روابط دیپلماتیک بین واتیکان و حزب کمونیست چین (ح.ک.چ) را هدف قرار می دهد. این گروه همچنین نهادهای موجود در میانمار و همچنین سازمان هایی را که برای دیپلماسی در آفریقا کار می کنند ، هدف قرار می دهد.
آخرین کارزار فیشینگ TA416 از فریب های مهندسی اجتماعی استفاده می کند که به توافق موقت موسوم به مقدس مقدس واتیکان اشاره دارد ، که اخیراً بین واتیکان و ح.ک.چ تجدید شده است. عناوین جعلی ایمیل نیز یافت شد ، که به نظر می رسد خبرنگاران اتحادیه اخبار کاتولیک از آسیا را تقلید می کند.
نرم افزار مخرب PlugX است
محققان Proofpoint دو بایگانی RAR را شناسایی کرده اند که به عنوان dropper برای بدافزار PlugX عمل می کنند. در گذشته ، TA416 URL های Google Drive یا Drobox را به ایمیل های فیشینگ خود اضافه می کرد ، که برای تحویل بایگانی حاوی بدافزار PlugX و م relatedلفه های مربوطه استفاده می شود.
همانطور که گزارش شده است ThreatPost، ابزار دسترسی از راه دور PlugX (RAT) به یک کاربر از راه دور امکان سرقت داده ها و حتی کنترل سیستم های آسیب دیده را بدون اجازه یا اجازه می دهد. PlugX به مهاجم اجازه می دهد تا پرونده ها را کپی ، انتقال ، تغییر نام دهد ، اجرا و حذف کند ، همچنین کلیدهای مربوط به ورود به سیستم ، اثر انگشت سیستم آلوده و موارد دیگر را وارد کند.
این بار اما Proofpoint بدافزار PlugX TA416 را به عنوان یک باینری Golang شناسایی کرد. این نوع پرونده قبلاً توسط گروه مورد استفاده قرار نگرفته است ، اما عملکرد بدافزار اساساً به همان شکل باقی مانده است.
تیم تحقیقاتی Proofpoint در یک گزارش جدید بینش بیشتری در مورد یافته های خود ارائه دادند و گفتند:
“فعالیتهای مداوم TA416 یک دشمن ثابت را نشان می دهد که در حال تغییر تدریجی در جعبه ابزار مستند است تا بتواند در انجام کارزارهای جاسوسی علیه اهداف جهانی م effectiveثر باشد. معرفی Golang PlugX Loader همراه با تلاش های مداوم برای رمزگذاری محموله های PlugX نشان می دهد که این گروه ممکن است از کشف بیشتر ابزارهای خود آگاه بوده و در پاسخ به انتشارات مربوط به فعالیت های خود ، سازگاری را نشان دهند. این تعدیل ها در این ابزار ، همراه با بازبینی دوره ای زیرساخت های فرماندهی و کنترل ، نشان می دهد که TA416 همچنان سازمان های مذهبی و مذهبی را هدف قرار می دهد.
منبع: subtitle-news.ir