جاسوسان سایبری مرتبط با چین، چاله آبیاری، حملات زنجیره تامین

یک حمله سایبری هدفمند مرتبط با یک گروه تهدید چینی، بازدیدکنندگان یک وب سایت جشنواره بودیسم و ​​کاربران یک برنامه ترجمه زبان تبتی را آلوده کرد.

بر اساس تحقیقات جدید ESET، کمپین عملیات سایبری توسط تیم هک موسوم به Evasive Panda از سپتامبر 2023 یا قبل از آن آغاز شد و بر سیستم‌های هند، تایوان، استرالیا، ایالات متحده و هنگ کنگ تأثیر گذاشت.

به عنوان بخشی از این کمپین، مهاجمان وب سایت های یک سازمان مستقر در هند را که بودیسم تبتی را تبلیغ می کند، به خطر انداختند. یک شرکت توسعه که ترجمه زبان تبتی را تولید می کند. و وب سایت خبری Tibetpost که سپس ناآگاهانه میزبان برنامه های مخرب بود. بازدیدکنندگان سایت ها از مناطق جغرافیایی خاص جهانی به قطره چکان ها و درهای پشتی آلوده شدند، از جمله MgBot ترجیحی گروه و همچنین یک برنامه نسبتاً جدید درب پشتی، Nightdoor.

به طور کلی، این گروه طیف قابل توجهی از بردارهای حمله را در کمپین اجرا کرد: حمله دشمن در وسط (AitM) از طریق یک به روز رسانی نرم افزار، با بهره برداری از یک سرور توسعه. یک سوراخ آبیاری؛ محقق ESET، Anh Ho، که این حمله را کشف کرد، می گوید و ایمیل های فیشینگ.

او می‌گوید: «این واقعیت که آن‌ها هم یک زنجیره تأمین و هم حمله آب‌چاله را در یک کمپین هماهنگ می‌کنند، منابعی را که در اختیار دارند، نشان می‌دهد». Nightdoor بسیار پیچیده است، که از نظر فنی بسیار مهم است، اما به نظر من [مهمترین] ویژگی Evasive Panda، تنوع بردارهای حمله ای است که آنها قادر به انجام آن بوده اند.

Evasive Panda یک تیم نسبتا کوچک است که معمولاً بر نظارت افراد و سازمان‌ها در آسیا و آفریقا متمرکز است. این گروه با حملاتی به شرکت های مخابراتی در سال 2023 مرتبط است عملیات عشق آلوده توسط SentinelOneو مرتبط با گروه اسناد Granite Typhoon، نی گالیوم، توسط مایکروسافت. همچنین به عنوان شناخته شده است Daggerfly توسط Symantec، و به نظر می رسد که با یک گروه مجرم سایبری و جاسوسی که توسط آن شناخته می شود همپوشانی دارد Google Mandiant به عنوان APT41.

چاله های آبیاری و زنجیره تامین به خطر می افتد

این گروه که از سال 2012 فعال است، برای حملات زنجیره تامین و استفاده از اعتبارنامه های امضای کد دزدیده شده و به روز رسانی برنامه ها به خوبی شناخته شده است. سیستم ها را آلوده کند کاربران در چین و آفریقا در سال 2023.

در این کمپین اخیر که توسط ESET پرچم‌گذاری شده است، این گروه یک وب‌سایت را برای جشنواره Monlam بودایی تبتی به خطر انداخت تا یک ابزار درب پشتی یا دانلودر را ارائه کند و به گفته‌ها، بارهایی را در یک سایت خبری تبتی در معرض خطر قرار داد. تجزیه و تحلیل منتشر شده ESET.

این گروه همچنین کاربران را با به خطر انداختن توسعه‌دهنده نرم‌افزار ترجمه تبتی با برنامه‌های تروجانیزه‌شده برای آلوده کردن سیستم‌های Windows و Mac OS هدف قرار داد.

هو می‌گوید: «در این مرحله، نمی‌توان دقیقاً دانست که آنها به دنبال چه اطلاعاتی هستند، اما وقتی درهای پشتی - Nightdoor یا MgBot - مستقر می‌شوند، دستگاه قربانی مانند یک کتاب باز است. مهاجم می تواند به هر اطلاعاتی که بخواهد دسترسی داشته باشد.

پاندا فراری افراد را در داخل چین برای اهداف نظارتی هدف قرار داده است، از جمله افرادی که در سرزمین اصلی چین، هنگ کنگ و ماکائو زندگی می کنند. این گروه همچنین آژانس های دولتی در چین، ماکائو و کشورهای جنوب شرقی و شرق آسیا را به خطر انداخته است.

ESET در تحلیل خود اعلام کرد در آخرین حمله، موسسه فناوری جورجیا در میان سازمان‌هایی بود که در ایالات متحده مورد حمله قرار گرفتند.

روابط جاسوسی سایبری

Evasive Panda چارچوب بدافزار سفارشی خود به نام MgBot را توسعه داده است که معماری ماژولار را پیاده سازی می کند و توانایی دانلود اجزای اضافی، اجرای کد و سرقت داده ها را دارد. در میان سایر ویژگی‌ها، ماژول‌های MgBot می‌توانند از قربانیان در معرض خطر جاسوسی کنند و قابلیت‌های اضافی را دانلود کنند.

در سال 2020، پاندا فراری کاربران هدف در هند و هنگ کنگ طبق گفته Malwarebytes که این گروه را به حملات قبلی در سال‌های 2014 و 2018 مرتبط می‌کرد، از دانلودر MgBot برای تحویل بارهای نهایی استفاده می‌کند.

Nightdoor، یک درب پشتی که این گروه در سال 2020 معرفی کرد، با یک سرور فرمان و کنترل برای صدور دستورات، آپلود داده ها و ایجاد پوسته معکوس ارتباط برقرار می کند.

هو از ESET در تحلیل منتشر شده شرکت اعلام کرد مجموعه ابزارها - از جمله MgBot که منحصرا توسط Evasive Panda و Nightdoor استفاده می‌شود - مستقیماً به گروه جاسوسی سایبری مرتبط با چین اشاره می‌کند.

در تحلیل آمده است: «ESET این کمپین را به گروه Evasive Panda APT نسبت می‌دهد، بر اساس بدافزاری که استفاده شده است: MgBot و Nightdoor. طی دو سال گذشته، هر دو درب پشتی را دیده‌ایم که با هم در حمله‌ای نامربوط علیه یک سازمان مذهبی در تایوان مستقر شده‌اند که در آن سرور فرمان [و] یکسانی را نیز کنترل می‌کنند.»

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-cyber-spies-blend-watering-hole-supply-chain-attacks