Специалисты по кибербезопасности из компании Darktrace зафиксировали новую волну активности группировки Twill Typhoon, также известной под названием Mustang Panda. По данным экспертов, хакеры, действующие в интересах КНР, нацелились на организации в Азиатско-Тихоокеанском регионе и Японии. Основным инструментом взломщиков стала обновленная версия бэкдора FDMTP (версия 3.2.5.1) — вредоносного ПО, обеспечивающего скрытый удаленный доступ к системе.
Механика атаки и методы маскировки
Для доставки вредоносного кода злоумышленники применяют технику DLL sideloading (подмена динамических библиотек). Схема начинается с целевого фишинга: жертва получает архив, содержащий легитимное и доверенное приложение. В данном случае использовался популярный китайский редактор ввода иероглифов Sogou Pinyin. Вместе с основной программой в архиве находится вредоносный файл DLL с идентичным оригинальному названием. При запуске редактора система автоматически загружает поддельную библиотеку вместо настоящей, что дает хакерам возможность закрепиться в инфраструктуре.
В обзоре Darktrace отмечается, что хакеры предпринимают серьезные усилия для сокрытия своей деятельности:
- Имитация сетевого трафика крупных сервисов доставки контента (CDN), таких как Yahoo и Apple, чтобы вредоносная активность сливалась с обычными веб-запросами.
- Сбор подробных данных о зараженной системе, включая информацию об антивирусах и учетных записях пользователей.
- Использование модульных плагинов для дистанционного управления файлами и процессами.
Поведенческий анализ как эффективный метод защиты
Обозреватели подчеркивают, что группировка придерживается характерного «китайского стиля» ведения киберопераций. Инфраструктура атакующих и сами вредоносные файлы могут часто меняться, однако общая модель исполнения остается стабильной. По словам экспертов, это делает традиционные методы защиты, основанные на поиске конкретных признаков заражения (индикаторов компрометации), малоэффективными.
В отчете указывается, что для надежной защиты предприятиям необходимо внедрять системы, способные распознавать подозрительные последовательности действий, а не только известные образцы вирусов. Источник сообщает, что среди пострадавших уже числится как минимум одна компания из финансового сектора, а сама кампания по внедрению бэкдора FDMTP охватывает период вплоть до апреля 2026 года.
