HoneyMyte модернизирует арсенал кибератак на госорганизации Азии
3 мин
35
«Лаборатория Касперского» опубликовала результаты исследования деятельности группировки HoneyMyte, которую также называют Mustang Panda и Bronze President. Хакеры работают в Европе и Азии и специализируются на государственных организациях.
HoneyMyte использует целый набор инструментов. В арсенале хакеров — бэкдоры ToneShell и CoolClient, USB-черви Tonedisk и SnakeDisk, а также разные другие зловреды. В 2025 году HoneyMyte добавила новые функции в CoolClient, развернула несколько вариантов браузерного стилера, применяла разные скрипты для разведки и кражи данных.
Бэкдор CoolClient обычно приходит с зашифрованными загрузочными файлами. Внутри — конфигурационные данные, шелл-код и DLL-модули следующего этапа. Основной метод доставки — DLL sideloading. Для загрузки вредоносной библиотеки нужен подписанный легитимный исполняемый файл. С 2021 по 2025 год злоумышленники использовали подписанные файлы Bitdefender, VLC Media Player, Ulead PhotoImpact. Последняя версия CoolClient загружает вредоносный код через легитимное ПО Sangfor.
Бэкдор собирает подробную информацию о системе и пользователе: имя компьютера, версию ОС, объём памяти, MAC- и IP-адреса, данные о пользователе, описания загруженных драйверов. Варианты умеют передавать файлы на командный сервер, удалять файлы, вести кейлоггинг, делать TCP-туннелирование, работать в режиме обратного прокси, разворачивать и выполнять плагины.
Для работы CoolClient нужно несколько файлов: легитимное приложение Sangfor (Sang.exe), вредоносная библиотека для расшифровки loader.dat и выполнения шелл-кода Libngs.dll, которая содержит зашифрованный шелл-код и DLL второго этапа, зашифрованный конфигурационный файл Time.dat и ещё один зашифрованный файл с шелл-кодом и DLL третьего этапа Main.dat, где живёт основная функциональность зловреда.
CoolClient работает с тремя параметрами. Без параметра он запускает новый экземпляр с параметром install, который дешифрует time.dat, добавляет запись в реестр для закрепления, создаёт процесс write.exe, дешифрует loader.dat и внедряет его в write.exe. Проверяет доступ к диспетчеру служб и наличие антивирусных процессов вроде 360sd.exe, устанавливает службу media_updaten. Если пользователь из группы администраторов, то создаёт новый экземпляр с параметром passuac для обхода UAC, параметр work создаёт write.exe и внедряет в него loader.dat. Параметр passuac обходит UAC, повышает привилегии, проверяет версию Windows, маскируется под svchost.exe, создаёт задачу ComboxResetTask в планировщике для закрепления в системе.
Процесс write.exe расшифровывает main.dat — это DLL последнего этапа с основной функциональностью. При запуске проверяется, включены ли кейлоггер, кража данных из буфера обмена и сниффер учётных данных HTTP-прокси.
В недавней кампании против Пакистана и Мьянмы хакерская группа применила обновлённую версию бэкдора. Она устанавливает и запускает ранее неизвестный руткит. Специалисты заявили, что технический анализ новой версии ВПО выйдет позже в отдельном отчёте.
