Zoho WorkDrive – корпоративный клауд-стораж, который повсеместно используется в индийском госсекторе: обычный, ожидаемый трафик, на который прокси и SIEM смотрят как на легитимный ещё до того, как через него ушёл первый мегабайт данных атакующего. Именно поэтому Mustang Panda выбрала его не мишенью, а почтовым ящиком. Acronis Threat Research Unit разобрала две параллельные кампании группы против гидроэнергетического сектора Индии и госструктур, работающих по меморандумам с Тайванем, и вытащила на свет тулкит из трёх новых инструментов – загрузчик SHARDLOADER, бэкдор MINIRECON и имплант ZOHOMURK, который вместо привычного C2-сервера гоняет команды через папки inbox и outbox в чужом облачном аккаунте.
Идея не нова сама по себе – атакующие давно прячут C2 в трафике, который выглядит легитимно. Но здесь интересна степень серьёзности: OAuth-креды зашиты прямо в бинарник, WorkDrive-аккаунт работает буквально как деддроп, а вся цепочка запускается через легитимно подписанные Solid PDF Creator и Citrix Receiver, которым Windows доверяет по умолчанию. Ниже – разбор того, как это устроено изнутри, шаг за шагом, от ZIP-приманки до эксфильтрации.
Эта статья доступна только подписчикам. Оформите подписку, чтобы получить доступ ко всем премиум статьям.
Автор: hacker@shifry.local