Mit China verbundene Cyberspione vermischen Watering Hole- und Supply-Chain-Angriffe

Ein gezielter Watering-Hole-Cyberangriff im Zusammenhang mit einer chinesischen Bedrohungsgruppe infizierte Besucher einer Buddhismus-Festival-Website und Benutzer einer Anwendung zur Übersetzung der tibetischen Sprache.

Die Cyber-Operations-Kampagne des sogenannten Evasive Panda-Hackerteams begann im September 2023 oder früher und betraf Systeme in Indien, Taiwan, Australien, den Vereinigten Staaten und Hongkong, wie aus einer neuen Studie von ESET hervorgeht.

Im Rahmen der Kampagne kompromittierten die Angreifer die Websites einer in Indien ansässigen Organisation, die den tibetischen Buddhismus fördert. ein Entwicklungsunternehmen, das Übersetzungen in die tibetische Sprache erstellt; und die Nachrichten-Website Tibetpost, die damals unwissentlich Schadprogramme hostete. Besucher der Websites aus bestimmten Regionen der Welt wurden mit Droppern und Hintertüren infiziert, darunter dem von der Gruppe bevorzugten MgBot sowie einem relativ neuen Hintertürprogramm, Nightdoor.

Insgesamt führte die Gruppe in der Kampagne eine beeindruckende Vielfalt an Angriffsvektoren durch: einen Adversary-in-the-Middle-Angriff (AitM) über ein Software-Update, bei dem ein Entwicklungsserver ausgenutzt wurde; eine Wasserstelle; und Phishing-E-Mails, sagt ESET-Forscher Anh Ho, der den Angriff entdeckt hat.

„Die Tatsache, dass sie innerhalb derselben Kampagne sowohl einen Lieferketten- als auch einen Watering-Hole-Angriff orchestrieren, zeigt, über welche Ressourcen sie verfügen“, sagt er. „Nightdoor ist ziemlich komplex, was technisch bedeutsam ist, aber meiner Meinung nach ist die [bedeutendste] Eigenschaft von Evasive Panda die Vielfalt der Angriffsvektoren, die sie ausführen konnten.“

Evasive Panda ist ein relativ kleines Team, das sich typischerweise auf die Überwachung von Einzelpersonen und Organisationen in Asien und Afrika konzentriert. Die Gruppe wird mit Angriffen auf Telekommunikationsunternehmen im Jahr 2023 in Verbindung gebracht Operation Tainted Love von SentinelOne, und mit der Zuordnungsgruppe Granite Typhoon verbunden, geb. Gallium, per Microsoft. Es ist auch bekannt als Daggerfly von Symantec, und es scheint sich mit einer Cyberkriminellen- und Spionagegruppe zu überschneiden, die bekannt ist Google Mandiant als APT41.

Wasserlöcher und Lieferkettenkompromisse

Die seit 2012 aktive Gruppe ist für Angriffe auf die Lieferkette sowie für die Verwendung gestohlener Codesignatur-Anmeldeinformationen und Anwendungsaktualisierungen bekannt die Systeme infizieren der Nutzer in China und Afrika im Jahr 2023.

In dieser jüngsten von ESET gemeldeten Kampagne hat die Gruppe eine Website für das tibetisch-buddhistische Mönlam-Festival manipuliert, um eine Hintertür oder ein Download-Tool bereitzustellen, und Schaddaten auf einer manipulierten tibetischen Nachrichtenseite platziert, heißt es ESETs veröffentlichte Analyse.

Die Gruppe nahm auch Benutzer ins Visier, indem sie einen Entwickler tibetischer Übersetzungssoftware mit trojanisierten Anwendungen kompromittierte, um sowohl Windows- als auch Mac OS-Systeme zu infizieren.

„Zu diesem Zeitpunkt ist es unmöglich, genau zu wissen, nach welchen Informationen sie suchen, aber wenn die Hintertüren – Nightdoor oder MgBot – eingesetzt werden, ist die Maschine des Opfers wie ein offenes Buch“, sagt Ho. „Der Angreifer kann auf alle gewünschten Informationen zugreifen.“

Evasive Panda hat Personen in China zu Überwachungszwecken ins Visier genommen, darunter Menschen, die auf dem chinesischen Festland, in Hongkong und Macau leben. Die Gruppe hat auch Regierungsbehörden in China, Macao sowie in südost- und ostasiatischen Ländern kompromittiert.

Bei dem jüngsten Angriff gehörte das Georgia Institute of Technology zu den angegriffenen Organisationen in den Vereinigten Staaten, so ESET in seiner Analyse.

Krawatten zur Cyberspionage

Evasive Panda hat sein eigenes benutzerdefiniertes Malware-Framework MgBot entwickelt, das eine modulare Architektur implementiert und die Möglichkeit bietet, zusätzliche Komponenten herunterzuladen, Code auszuführen und Daten zu stehlen. Unter anderem können MgBot-Module kompromittierte Opfer ausspionieren und zusätzliche Funktionen herunterladen.

Im Jahr 2020, Evasive Panda Zielgruppe sind Benutzer in Indien und Hongkong Laut Malwarebytes nutzten sie den MgBot-Downloader, um endgültige Nutzlasten zu liefern, was die Gruppe mit früheren Angriffen in den Jahren 2014 und 2018 in Verbindung brachte.

Nightdoor, eine Hintertür, die die Gruppe im Jahr 2020 eingeführt hat, kommuniziert mit einem Command-and-Control-Server, um Befehle zu erteilen, Daten hochzuladen und eine Reverse-Shell zu erstellen.

Die Sammlung von Tools – darunter MgBot, das ausschließlich von Evasive Panda verwendet wird, und Nightdoor – weist direkt auf die mit China verbundene Cyber-Spionagegruppe hin, erklärte Ho von ESET in der veröffentlichten Analyse des Unternehmens.

„ESET ordnet diese Kampagne der Evasive Panda APT-Gruppe zu, basierend auf der verwendeten Malware: MgBot und Nightdoor“, heißt es in der Analyse. „In den letzten zwei Jahren haben wir gesehen, wie beide Hintertüren gemeinsam bei einem unabhängigen Angriff auf eine religiöse Organisation in Taiwan eingesetzt wurden, bei dem sie sich auch denselben Befehls- und Kontrollserver teilten.“

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-cyber-spies-blend-watering-hole-supply-chain-attacks