Hiinaga seotud küberspioonide segu jootmisauk, tarneahela rünnakud

Hiina ohurühmaga seotud sihitud küberrünnak nakatas budismifestivali veebisaidi külastajaid ja tiibeti keele tõlkerakenduse kasutajaid.

ESETi uue uuringu kohaselt algas niinimetatud Evasive Panda häkkimismeeskonna küberoperatsioonide kampaania 2023. aasta septembris või varem ning see mõjutas India, Taiwani, Austraalia, Ameerika Ühendriikide ja Hongkongi süsteeme.

Kampaania raames kompromiteerisid ründajad Indias asuva Tiibeti budismi propageeriva organisatsiooni veebisaite; arendusettevõte, mis toodab tiibeti keele tõlkeid; ja uudisteveebisait Tibetpost, mis siis teadmatult võõrustas pahatahtlikke programme. Konkreetsest globaalsest geograafiast pärit saitide külastajad olid nakatunud tilgutite ja tagaustega, sealhulgas grupi eelistatud MgBot ja suhteliselt uus tagaukse programm Nightdoor.

Üldiselt rakendas rühm kampaanias muljetavaldavalt erinevaid ründevektoreid: vastase (AitM) rünnak tarkvarauuenduse kaudu, kasutades arendusserverit; kastmisauk; ja andmepüügimeilid, ütleb rünnaku avastanud ESET-i teadur Anh Ho.

"Asjaolu, et nad korraldavad sama kampaania raames nii tarneahela kui ka rünnakuid, näitab nende ressursse," ütleb ta. "Nightdoor on üsna keeruline, mis on tehniliselt oluline, kuid minu arvates on Evasive Panda [kõige olulisem] atribuut rünnakuvektorite mitmekesisus, mida nad on suutnud täita."

Evasive Panda on suhteliselt väike meeskond, mis on tavaliselt keskendunud üksikisikute ja organisatsioonide jälgimisele Aasias ja Aafrikas. Rühmitust seostatakse rünnakutega telekommunikatsioonifirmade vastu 2023. aastal, dubleeritud SentinelOne'i operatsioon Tainted Love, mis on seotud omistamisrühmaga Granite Typhoon, sündinud Gallium, Microsoft. Seda tuntakse ka kui Symanteci daggerflyja see näib kattuvat küberkurjategijate ja spionaažirühmaga, keda teavad Google Mandiant kui APT41.

Kastmisaugud ja tarneahela kompromissid

Alates 2012. aastast tegutsev grupp on tuntud tarneahela rünnakute ning varastatud koodiallkirjastamise mandaatide ja rakenduste värskenduste kasutamise poolest. süsteeme nakatada kasutajatest Hiinas ja Aafrikas 2023. aastal.

Selles viimases ESET-i märgistatud kampaanias ohustas grupp Tiibeti budistliku monlami festivali veebisaiti, et pakkuda tagaukse või allalaadimistööriista, ning paigutas kasulikud koormad ohustatud Tiibeti uudistesaidile. ESET-i avaldatud analüüs.

Rühm võttis sihikule ka kasutajad, kompromiteerides tiibeti keele tõlketarkvara arendajat Trooja rakendustega, et nakatada nii Windowsi kui ka Mac OS-i süsteeme.

"Praegu on võimatu täpselt teada, millist teavet nad otsivad, kuid kui tagauksed - Nightdoor või MgBot - on kasutusele võetud, on ohvri masin nagu avatud raamat," ütleb Ho. "Ründaja pääseb juurde mis tahes teabele, mida ta soovib."

Evasive Panda on jälgimise eesmärgil võtnud sihikule Hiinas elavad isikud, sealhulgas Mandri-Hiinas, Hongkongis ja Aomenis elavad inimesed. Rühm on ohustanud ka Hiina, Aomeni ning Kagu- ja Ida-Aasia riikide valitsusasutusi.

Viimases rünnakus oli USA-s rünnatud organisatsioonide hulgas ka Georgia Tehnoloogiainstituut, teatas ESET oma analüüsis.

Küberspionaaži sidemed

Evasive Panda on välja töötanud oma kohandatud pahavara raamistiku MgBot, mis rakendab modulaarset arhitektuuri ja millel on võimalus alla laadida lisakomponente, käivitada koodi ja varastada andmeid. Muude funktsioonide hulgas saavad MgBoti moodulid luurata ohustatud ohvreid ja laadida alla lisavõimalusi.

Aastal 2020 Evasive Panda sihitud kasutajad Indias ja Hongkongis MgBoti allalaadija kasutamine lõplike kasulike koormuste edastamiseks Malwarebytesi andmetel, mis seostasid grupi varasemate rünnakutega 2014. ja 2018. aastal.

Nightdoor, tagauks, mille grupp tutvustas 2020. aastal, suhtleb käsu- ja juhtimisserveriga, et väljastada käske, laadida üles andmeid ja luua pöördkesta.

Tööriistade kogu, sealhulgas MgBot, mida kasutab ainult Evasive Panda, ja Nightdoor, viitab otseselt Hiinaga seotud küberspionaažirühmale, teatas ESETi Ho ettevõtte avaldatud analüüsis.

"ESET omistab selle kampaania Evasive Panda APT rühmale, tuginedes kasutatud pahavarale: MgBot ja Nightdoor," seisis analüüsis. "Viimase kahe aasta jooksul oleme näinud mõlemat tagaust koos rakendatuna sõltumatus rünnakus ühe Taiwani usuorganisatsiooni vastu, kus nad jagasid ka sama käsu [ja] juhtimisserverit."

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-cyber-spies-blend-watering-hole-supply-chain-attacks