与中国有关联的网络间谍组织 " 熊猫芥末 "(Mustang Panda)被曝正同时对印度政府和能源目标发动两起攻击行动,该组织将受信任的云存储服务作为隐蔽指挥中心,并部署全新开发的恶意软件工具,在静默窃取数据的同时,让恶意流量混入正常的云活动之中。
攻击重点瞄准印度水力发电行业以及参与双边合作的政府机构。攻击者使用以水电合作提案和印台机构间备忘录为主题的诱饵文件,诱骗受害者执行恶意软件。分析人士指出,其真实目的在于收集印度水电发展计划及其与台湾防务关系的情报。

在一份与 Cyber Security News(CSN)分享的报告中,Acronis 威胁研究部门(TRU)的研究人员表示,他们已识别出这些攻击活动,并发现印度政府网络内部存在正在进行的入侵,受害机器包括高级行政人员所使用的设备。发现入侵行为后,Acronis 直接与印度计算机应急响应小组(CERT-In)合作进行通报和清理工作。
威胁行为者在这两起攻击行动中共引入了三种新的恶意软件工具。第一种名为 SHARDLOADER,是一个加载器,通过利用合法签名的二进制文件(Solid PDF Creator 或 Citrix Receiver 可执行文件,具体取决于攻击活动)进行 DLL 侧加载来运行。另外两个植入物 MINIRECON 和 ZOHOMURK 则在加载器完成任务后,承担起主要的数据窃取工作。
这符合一个清晰且不断升级的攻击模式。今年 4 月,Acronis 还将 " 熊猫芥末 " 组织与针对印度银行业和韩国政策圈的攻击活动联系起来,那次行动使用了一款名为 LOTUSLITE 的工具,同样通过合法云服务进行中转。而早在 2021 年的 RedEcho 行动中,该组织就曾利用 ShadowPad 恶意软件瞄准印度电网,显示出北京对印度关键基础设施的持续兴趣。


登录后才可以发布评论哦
打开小程序可以发布评论哦