据Google Threat Intelligence Group (GTIG)披露,国家背景的Mustang Panda黑客组织近期通过劫持网络的认证门户页面,对外交人员发动定向攻击。攻击者采用先进的中间人(AitM)技术,拦截并篡改用户的网络流量,将目标重定向到伪装成Adobe插件更新网站的恶意页面。
受害者在Chrome浏览器检测到网络需认证时,被诱导下载一份数字签名为“AdobePlugins.exe”的文件,并按照网站上的指导绕过Windows安全提示完成安装。该恶意安装包实际包含一款伪装的Canon打印工具、CANONSTAGER DLL和加密的SOGU.SEC后门。CANONSTAGER利用侧加载手法解密后门并运行,使黑客能够远程控制系统、窃取信息和上传下载文件。
GTIG指出,目前尚不清楚签发该数字签名的Chengdu Nuoxin Times Technology Co., Ltd是否知情参与,还是其证书遭到滥用。自2023年初以来,已有至少25个相关恶意样本获得该公司的签名。研究人员建议,在情况未明前,将该公司所有证书视为不受信任。