Новости Запустил PDF-редактор — получил шпиона. Как работает подмена DLL в атаках Mustang Panda

NewsMaker

I'm just a script
Премиум
27,988
46
8 Ноя 2022
Жертва открывала честный подписанный файл, а Windows услужливо подтягивала рядом лежащий вредонос — классика, которая всё ещё работает.


5k3ym18jp4kelwz8qp43hbo7ksalashl.jpg

Обычный облачный сервис для рабочих файлов стал частью шпионской операции, в которой китайская группа Mustang Panda атаковала индийские госструктуры и энергетический сектор и использовала Zoho WorkDrive для управления заражёнными системами.

Специалисты Acronis Threat Research Unit связали с Mustang Panda две кампании, нацеленные на организации, связанные с гидроэнергетикой Индии и соглашениями о сотрудничестве с Тайванем. По данным компании, злоумышленники разослали архивы с приманками на государственные и отраслевые темы, а внутри спрятали загрузчик SHARDLOADER и новые импланты MINIRECON и ZOHOMURK.

Цепочка атаки строилась на подмене DLL-файлов . Жертва запускала легитимный подписанный файл, например, компонент Solid PDF Creator или Citrix Receiver, а Windows автоматически подгружала вредоносную библиотеку из той же папки. Так SHARDLOADER запускался под видом доверенного приложения, закреплялся в системе и передавал управление следующему модулю.

MINIRECON открывал злоумышленникам удалённый доступ к заражённой машине, позволял выполнять команды, загружать и скачивать файлы. Для связи с управляющим сервером имплант использовал WebSocket поверх HTTPS и мог работать через локальные прокси, что помогало трафику выглядеть привычнее для корпоративной сети.

Более заметной частью кампании стал ZOHOMURK. Вредонос использовал Zoho WorkDrive как канал управления и вывода данных. После запуска имплант создавал для жертвы папки в аккаунте операторов, проверял появление файлов с командами, выполнял задания и загружал ответы обратно в облако. Такой механизм маскировал активность под работу с легитимным сервисом.

Во время расследования специалисты выявили несколько скомпрометированных систем в индийском государственном секторе, включая устройства, связанные с высокопоставленными административными сотрудниками. Активность наблюдали с 12 по 22 июня 2026 года. Acronis передала индикаторы, сведения об инфраструктуре и технические данные Индийской группе реагирования на компьютерные инциденты CERT-In, чтобы помочь с уведомлением жертв и устранением заражений.

Организациям из государственного и энергетического секторов рекомендуют проверять подозрительные архивы с геополитическими темами, искать следы закрепления в ветке HKCU\Software\Microsoft\Windows\CurrentVersion\Run, задачу SolidPDFPcl2Bmp, каталоги C:\ProgramData\IDM\logs\ и %LOCALAPPDATA%\Microsoft\VaultCache, а также обращения к Zoho WorkDrive и accounts.zoho.com из процессов, которые не относятся к браузерам.
 
Источник новости
www.securitylab.ru

Похожие темы