Et målrettet vandhuls-cyberangreb forbundet med en kinesisk trusselsgruppe inficerede besøgende på et buddhistisk festivalwebsted og brugere af en tibetansk sprogoversættelsesapplikation.
Cyberoperationskampagnen af det såkaldte Evasive Panda hacking-team begyndte september 2023 eller tidligere og påvirkede systemer i Indien, Taiwan, Australien, USA og Hong Kong, ifølge ny forskning fra ESET.
Som en del af kampagnen kompromitterede angriberne hjemmesiderne for en Indien-baseret organisation, der promoverer tibetansk buddhisme; et udviklingsfirma, der producerer tibetansk sprogoversættelse; og nyhedshjemmesiden Tibetpost, som så ubevidst hostede ondsindede programmer. Besøgende på webstederne fra specifikke globale geografier blev inficeret med droppere og bagdøre, inklusive gruppens foretrukne MgBot samt et relativt nyt bagdørsprogram, Nightdoor.
Samlet set udførte gruppen et imponerende udvalg af angrebsvektorer i kampagnen: et adversary-in-the-middle (AitM) angreb via en softwareopdatering, der udnyttede en udviklingsserver; et vandhul; og phishing-e-mails, siger ESET-forsker Anh Ho, der opdagede angrebet.
"Det faktum, at de orkestrerer både en forsyningskæde og et vandhulsangreb inden for den samme kampagne, viser de ressourcer, de har," siger han. "Nightdoor er ret kompleks, hvilket er teknisk signifikant, men efter min mening er Evasive Pandas [mest betydningsfulde] egenskab mangfoldigheden af de angrebsvektorer, de har været i stand til at udføre."
Evasive Panda er et relativt lille team, der typisk fokuserer på overvågning af enkeltpersoner og organisationer i Asien og Afrika. Gruppen er forbundet med angreb på teleselskaber i 2023, kaldet Operation Tainted Love af SentinelOne, og tilknyttet tilskrivningsgruppen Granite Typhoon, født Gallium, ifølge Microsoft. Det er også kendt som Dolkefly fra Symantec, og det ser ud til at overlappe med en cyberkriminel og spionagegruppe kendt af Google Mandiant som APT41.
Vandingshuller og kompromiser i forsyningskæden
Gruppen, der har været aktiv siden 2012, er kendt for forsyningskædeangreb og for at bruge stjålne kodesigneringsoplysninger og applikationsopdateringer til inficere systemerne af brugere i Kina og Afrika i 2023.
I denne seneste kampagne, der blev markeret af ESET, kompromitterede gruppen et websted for den tibetanske buddhistiske Monlam-festival for at tjene et bagdørs- eller downloadværktøj og plantede nyttelast på et kompromitteret tibetansk nyhedswebsted, ifølge ESETs offentliggjorte analyse.
Gruppen målrettede også brugere ved at kompromittere en udvikler af tibetansk oversættelsessoftware med trojaniserede applikationer for at inficere både Windows- og Mac OS-systemer.
"På dette tidspunkt er det umuligt at vide præcis, hvilken information de leder efter, men når bagdørene - Nightdoor eller MgBot - er indsat, er ofrets maskine som en åben bog," siger Ho. "Angriberen kan få adgang til enhver information, de ønsker."
Evasive Panda har rettet mod enkeltpersoner i Kina til overvågningsformål, herunder personer, der bor på det kinesiske fastland, Hongkong og Macao. Gruppen har også kompromitteret regeringsagenturer i Kina, Macao og sydøst- og østasiatiske lande.
I det seneste angreb var Georgia Institute of Technology blandt de organisationer, der blev angrebet i USA, oplyste ESET i sin analyse.
Cyberspionagebånd
Evasive Panda har udviklet sin egen tilpassede malwareramme, MgBot, der implementerer en modulær arkitektur og har evnen til at downloade tilføjelseskomponenter, eksekvere kode og stjæle data. Blandt andre funktioner kan MgBot-moduler spionere på kompromitterede ofre og downloade yderligere funktioner.
I 2020, Evasive Panda målrettede brugere i Indien og Hong Kong bruge MgBot-downloaderen til at levere endelige nyttelaster, ifølge Malwarebytes, som kædede gruppen til tidligere angreb i 2014 og 2018.
Nightdoor, en bagdør, som gruppen introducerede i 2020, kommunikerer med en kommando-og-kontrol-server for at udstede kommandoer, uploade data og oprette en omvendt shell.
Samlingen af værktøjer - inklusive MgBot, der udelukkende bruges af Evasive Panda og Nightdoor - peger direkte på den Kina-tilknyttede cyberspionagegruppe, udtalte ESETs Ho i firmaets offentliggjorte analyse.
"ESET tilskriver denne kampagne til Evasive Panda APT-gruppen, baseret på den malware, der blev brugt: MgBot og Nightdoor," hedder det i analysen. "I løbet af de sidste to år har vi set begge bagdøre blive indsat sammen i et ikke-relateret angreb mod en religiøs organisation i Taiwan, hvor de også delte den samme kommando [og] kontrolserver."
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-cyber-spies-blend-watering-hole-supply-chain-attacks
- :har
- :er
- $OP
- 2012
- 2014
- 2018
- 2020
- 2023
- 7
- a
- evne
- I stand
- adgang
- Ifølge
- aktiv
- Desuden
- Yderligere
- påvirket
- afrika
- Efter
- mod
- agenturer
- også
- blandt
- an
- analyse
- ,
- enhver
- kommer til syne
- Anvendelse
- applikationer
- APT
- arkitektur
- ER
- AS
- asia
- asiatisk
- forbundet
- At
- angribe
- Angriberen
- Angreb
- attributter
- Australien
- bagdør
- Bagdøre
- baseret
- været
- begyndte
- Blanding
- bog
- både
- men
- by
- Kampagne
- CAN
- kapaciteter
- kæde
- Kina
- kinesisk
- kode
- samling
- selskab
- komplekse
- komponenter
- Kompromitteret
- at gå på kompromis
- kontrol
- skabe
- Legitimationsoplysninger
- skik
- Cyber
- Cyber angreb
- CYBERKRIMINAL
- data
- levere
- indsat
- udviklet
- Udvikler
- Udvikling
- Udviklingsselskab
- direkte
- opdaget
- downloade
- døbt
- tidligere
- Øst
- emails
- spionage
- præcist nok
- udelukkende
- udføre
- henrettet
- udnytte
- Faktisk
- Funktionalitet
- FESTIVAL
- endelige
- Firm
- firmaer
- Markeret
- fokuserede
- Til
- Framework
- fra
- geografier
- Georgien
- Global
- Regering
- regeringsorganer
- gruppe
- hacking
- Have
- he
- Hole
- Huller
- Hong
- Hong Kong
- hostede
- HTTPS
- redskaber
- umuligt
- imponerende
- in
- Herunder
- Indien
- enkeltpersoner
- inficeret
- oplysninger
- Institut
- introduceret
- spørgsmål
- IT
- ITS
- jpg
- Kend
- kendt
- Kong
- Sprog
- seneste
- ligesom
- forbundet
- levende
- kærlighed
- mac
- maskine
- fastland
- ondsindet
- malware
- Malwarebytes
- microsoft
- modulær
- Moduler
- mest
- my
- nationer
- Ny
- nyheder
- of
- on
- åbent
- Udtalelse
- or
- organisation
- organisationer
- OS
- Andet
- i løbet af
- overlapning
- egen
- del
- forbi
- Mennesker
- per
- Udfør
- Phishing
- plato
- Platon Data Intelligence
- PlatoData
- Punkt
- punkter
- foretrækkes
- tidligere
- producerer
- Program
- Programmer
- fremmer
- offentliggjort
- formål
- helt
- relativt
- forskning
- forsker
- Ressourcer
- vende
- s
- samme
- siger
- sikkerhed
- set
- september
- tjener
- server
- delt
- Shell
- signifikant
- siden
- websted
- Websteder
- lille
- Software
- sydøst
- specifikke
- spioner
- erklærede
- Stater
- stjålet
- forsyne
- forsyningskæde
- overvågning
- Systemer
- taiwan
- målrettet
- hold
- teknisk set
- Teknologier
- telekommunikation
- at
- derefter
- de
- denne
- trussel
- Slips
- til
- sammen
- værktøj
- værktøjer
- Oversættelse
- to
- typisk
- Forenet
- Forenede Stater
- Opdatering
- opdateringer
- anvendte
- brugere
- ved brug af
- række
- via
- Victim
- ofre
- besøgende
- ønsker
- var
- we
- Hjemmeside
- websites
- GODT
- Kendt
- var
- Hvad
- hvornår
- som
- WHO
- vinduer
- med
- inden for
- år
- zephyrnet
