Check Point Research (CPR) locates an ongoing cyber espionage operation targeting Russian defense research institutes. The business, which is attributed to Chinese national government agencies, uses spear-phishing email messages post officey sent under the guise of the Russian Ministry of Health to collect sensitive information.
The emails caught by CPR contained malicious documents that used Western sanctions against Russia as bait, among other social engineering techniques. The threat actors managed to evade detection for almost 11 months using new and undocumented tools, which CPR now describes in detail for the first time. CPR named the campaign "Twisted Panda" to reflect the complexity of the tools seen and identified in China.
The Russian victims belong to a management company of the Russian state defense group Rostec Corporation, Russia's largest management company in the radio electronics industry.
The emails contained the lines themeτος "Κατάλογος των προσώπων που τελούν υπό αμερικανικές κυρώσεις για την εισβολή στην Ουκρανία" και "ΗΠΑ εξάπλωση θανατηφόρων παθογόνων στη Λευκορωσία"
The campaign has multiple overlaps with Chinese cyber espionage operators, including APT10 and Mustang Panda
Check Point Research (CPR) has identified an ongoing cyber espionage operation targeting Russian defense research institutes. The operation, attributed to Chinese national state threat actors, relies on social engineering techniques, specifically sanctions-related baiting, to gather sensitive information. The threat actors managed to evade detection for almost 11 months using new and undocumented tools, a sophisticated layered loader and a backdoor called SPINNER. CPR named this campaign "Twisted Panda" to reflect the sophistication of the tools seen and performance in China.
Goals
CPR has identified three defense targets, two in Russia and one in Belarus. The Russian victims belong to a holding company of the Russian state defense group Rostec Corporation, which is the largest holding company in Russia in the radio electronics industry. The main activity of the Russian victims concerns the development and construction of electronic warfare systems, specialized military radio-electronic equipment on board, air radar stations and state identification means. Research entities are also involved in avionics systems for civil aviation, the development of a variety of policy products, such as medical equipment and control systems for the energy, transportation and engineering industries.
Attack methodology
Initially, attackers send a specially designed e-mail to their targets. Phishing. The email contains a document that uses Western sanctions against Russia as bait. When the victim opens the document, it downloads the malicious code from the attacker-controlled server, which secretly installs and executes a backdoor on the victim's machine. This backdoor collects the data about the infected machine and sends it back to the attacker. Then based on these information, the attacker can further use the backdoor to execute additional commands on the victim's machine or collect sensitive data from it.
Malicious emails
The perpetrators use malicious spear-phishing email που χρησιμοποιούν τεχνικές κοινωνικής μηχανικής. Στις 23 Μαρτίου, κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου εστάλησαν σε διάφορα ινστιτούτα αμυντικής έρευνας που εδρεύουν στη Ρωσία. Τα μηνύματα ηλεκτρονικού ταχυδρομείου, τα οποία είχαν ως θέμα "List of persons under US sanctions for invading Ukraine" (Κατάλογος των προσώπων που βρίσκονται υπό τις κυρώσεις των ΗΠΑ για την εισβολή στην Ουκρανία), περιείχαν έναν σύνδεσμο προς έναν ελεγχόμενο από τους επιτιθέμενους ιστότοπο που μιμείται το Υπουργείο Υγείας της Ρωσίας και είχε συνημμένο ένα κακόβουλο έγγραφο. Την ίδια ημέρα, ένα παρόμοιο μήνυμα ηλεκτρονικού ταχυδρομείου εστάλη επίσης σε μια άγνωστη οντότητα στο Μινσκ της Λευκορωσίας με θέμα "Εξάπλωση θανατηφόρων παθογόνων στις ΗΠΑ στη Λευκορωσία". Όλα τα επισυναπτόμενα έγγραφα είναι κατασκευασμένα έτσι ώστε να μοιάζουν με επίσημα έγγραφα του ρωσικού Υπουργείου Υγείας, που φέρουν το επίσημο έμβλημα και τον τίτλο του.
Report
This Company Tactics, Techniques and Procedures (TTP) allow CPR to translate action into Chinese APT activity. The Twisted Panda campaign features multiple overlays with Chinese advanced and long-standing cyber espionage operators, including APT10 and Mustang Panda.
Ita Cohen, Head of Research at Check Point Software said:
"We have uncovered an ongoing espionage operation against Russian defense research institutes, which is being conducted by experienced and sophisticated threat actors supported by China. Our investigation indicates that this is part of a larger operation underway against Russian-related entities here and about a year."
"Ανακαλύψαμε δύο στοχευμένα αμυντικά ερευνητικά ιδρύματα στη Ρωσία και μία οντότητα στη Λευκορωσία. Ίσως το πιο εξελιγμένο μέρος της εκστρατείας είναι η συνιστώσα κοινωνικής μηχανικής. Ο συγχρονισμός των επιθέσεων και τα δέλεαρ που χρησιμοποιούνται είναι έξυπνα. Από technique άποψη, η ποιότητα των εργαλείων και η απόκρυψή τους είναι πάνω από το μέσο όρο, ακόμη και για ομάδες APT. Πιστεύω ότι τα ευρήματά μας χρησιμεύουν ως περισσότερες αποδείξεις ότι η κατασκοπεία είναι μια συστηματική και μακροπρόθεσμη προσπάθεια στην υπηρεσία των στρατηγικών στόχων της Κίνας για την επίτευξη τεχνολογικής υπεροχής. Σε αυτή την έρευνα, είδαμε πώς οι Κινέζοι κρατικά χρηματοδοτούμενοι επιτιθέμενοι εκμεταλλεύονται τον συνεχιζόμενο πόλεμο μεταξύ Ρωσίας και Ουκρανίας, εξαπολύοντας προηγμένα εργαλεία εναντίον αυτού που θεωρείται στρατηγικός εταίρος - της Ρωσίας".
