Kiinaan linkitetty kybervakoojasekoitus kasteluaukko, toimitusketjun hyökkäykset

Kiinalaiseen uhkaryhmään liittyvä kohdennettu kyberhyökkäys tartuttaa buddhalaisuuden festivaalin verkkosivuston kävijät ja tiibetiläisen kielen käännössovelluksen käyttäjät.

ESETin uuden tutkimuksen mukaan niin kutsutun Evasive Panda -hakkerointitiimin kyberoperaatiokampanja alkoi syyskuussa 2023 tai aikaisemmin ja vaikutti järjestelmiin Intiassa, Taiwanissa, Australiassa, Yhdysvalloissa ja Hongkongissa.

Osana kampanjaa hyökkääjät vaaransivat tiibetiläistä buddhalaisuutta edistävän intialaisen organisaation verkkosivustot; kehitysyhtiö, joka tuottaa tiibetin kielen käännöksiä; ja uutissivusto Tibetpost, joka sitten isännöi tietämättään haittaohjelmia. Sivustojen vierailijat tietyiltä maailmanlaajuisilta maantieteellisiltä alueilta saivat tartunnan droppeilla ja takaovilla, mukaan lukien ryhmän suosima MgBot sekä suhteellisen uusi takaoviohjelma Nightdoor.

Kaiken kaikkiaan ryhmä suoritti kampanjassa vaikuttavan valikoiman hyökkäysvektoreita: AitM-hyökkäys ohjelmistopäivityksen kautta, jossa hyödynnettiin kehityspalvelinta; kasteluaukko; ja phishing-sähköpostit, sanoo ESET-tutkija Anh Ho, joka löysi hyökkäyksen.

"Se, että he järjestävät sekä toimitusketjun että juomareiän hyökkäyksen samassa kampanjassa, esittelee heillä olevia resursseja", hän sanoo. "Nightdoor on melko monimutkainen, mikä on teknisesti merkittävää, mutta mielestäni Evasive Pandan [merkittävin] ominaisuus on niiden hyökkäysvektorien monimuotoisuus, jonka he ovat pystyneet suorittamaan."

Evasive Panda on suhteellisen pieni tiimi, joka tyypillisesti keskittyy yksilöiden ja organisaatioiden valvontaan Aasiassa ja Afrikassa. Ryhmää liitetään tietoliikenneyrityksiin kohdistuneisiin hyökkäyksiin vuonna 2023 SentinelOnen operaatio Tainted Loveja liittyy attribuutioryhmään Granite Typhoon, os Gallium, Microsoftilta. Se tunnetaan myös nimellä Symantecin Daggerfly, ja se näyttää olevan päällekkäinen tietoverkkorikollis- ja vakoiluryhmän kanssa, jonka tunnetaan Google Mandiant nimellä APT41.

Kasteluaukot ja toimitusketjun kompromissit

Vuodesta 2012 lähtien toiminut ryhmä on tunnettu toimitusketjuhyökkäyksistä sekä varastettujen koodin allekirjoitustietojen ja sovelluspäivitysten käyttämisestä. tartuttaa järjestelmät käyttäjistä Kiinassa ja Afrikassa vuonna 2023.

Tässä uusimmassa ESETin ilmoittamassa kampanjassa ryhmä vaaransi Tiibetin buddhalaisen Monlam-festivaalin verkkosivuston tarjotakseen takaoven tai lataustyökalun, ja asetti hyötykuormia vaarantuneelle tiibetiläiselle uutissivustolle. ESETin julkaisema analyysi.

Ryhmä kohdistui myös käyttäjiin vaarantamalla tiibetiläisen käännösohjelmiston kehittäjän troijalaisilla sovelluksilla saastuttaakseen sekä Windows- että Mac OS -järjestelmiä.

"Tässä vaiheessa on mahdotonta tietää tarkalleen, mitä tietoa he etsivät, mutta kun takaovet - Nightdoor tai MgBot - otetaan käyttöön, uhrin kone on kuin avoin kirja", Ho sanoo. "Hyökkääjä voi käyttää mitä tahansa haluamaansa tietoa."

Evasive Panda on kohdistanut valvontatarkoituksia Kiinassa oleviin henkilöihin, mukaan lukien Manner-Kiinassa, Hongkongissa ja Macaossa asuvat ihmiset. Ryhmä on myös vaarantanut valtion virastot Kiinassa, Macaossa sekä Kaakkois- ja Itä-Aasian maissa.

Viimeisimmässä hyökkäyksessä Georgia Institute of Technology oli Yhdysvalloissa hyökättyjen organisaatioiden joukossa, ESET totesi analyysissaan.

Kybervakoilusiteet

Evasive Panda on kehittänyt oman mukautetun haittaohjelmakehyksen, MgBotin, joka toteuttaa modulaarisen arkkitehtuurin ja jolla on kyky ladata lisäkomponentteja, suorittaa koodia ja varastaa tietoja. Muiden ominaisuuksien ohella MgBot-moduulit voivat vakoilla vaarantuneita uhreja ja ladata lisäominaisuuksia.

Vuonna 2020 Evasive Panda kohdistetuille käyttäjille Intiassa ja Hongkongissa käyttämällä MgBot-latausohjelmaa lopullisten hyötykuormien toimittamiseen Malwarebytesin mukaan, joka linkitti ryhmän aikaisempiin hyökkäyksiin vuosina 2014 ja 2018.

Nightdoor, takaovi, jonka ryhmä esitteli vuonna 2020, kommunikoi komento- ja ohjauspalvelimen kanssa komentojen antamiseksi, tietojen lataamiseksi ja käänteisen kuoren luomiseksi.

Työkalukokoelma – mukaan lukien yksinomaan Evasive Pandan käyttämä MgBot ja Nightdoor – viittaa suoraan Kiinaan liittyvään kybervakoiluryhmään, ESETin Ho totesi yrityksen julkaisemassa analyysissä.

"ESET lukee tämän kampanjan Evasive Panda APT -ryhmän ansioksi käytettyjen haittaohjelmien perusteella: MgBot ja Nightdoor", analyysi totesi. "Kahden viime vuoden aikana olemme nähneet molempien takaovien sijoittuneen yhteen riippumattomassa hyökkäyksessä uskonnollista organisaatiota vastaan ​​Taiwanissa, jossa heillä oli myös sama komento [ja] ohjauspalvelin."

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-cyber-spies-blend-watering-hole-supply-chain-attacks