Les cyberespions liés à la Chine mélangent points d’eau et attaques de la chaîne d’approvisionnement

Une cyberattaque ciblée liée à un groupe menaçant chinois a infecté les visiteurs d'un site Web de festival bouddhique et les utilisateurs d'une application de traduction en langue tibétaine.

La campagne de cyberopérations menée par l'équipe de piratage dite Evasive Panda a débuté en septembre 2023 ou avant et a touché des systèmes en Inde, à Taiwan, en Australie, aux États-Unis et à Hong Kong, selon une nouvelle étude d'ESET.

Dans le cadre de cette campagne, les attaquants ont compromis les sites Web d'une organisation basée en Inde qui promeut le bouddhisme tibétain ; une société de développement qui produit des traductions en langue tibétaine ; et le site d'information Tibetpost, qui hébergeait alors, sans le savoir, des programmes malveillants. Les visiteurs des sites provenant de zones géographiques mondiales spécifiques ont été infectés par des droppers et des portes dérobées, notamment le MgBot préféré du groupe ainsi qu'un programme de porte dérobée relativement nouveau, Nightdoor.

Dans l'ensemble, le groupe a exécuté une variété impressionnante de vecteurs d'attaque au cours de la campagne : une attaque d'adversaire au milieu (AitM) via une mise à jour logicielle, exploitant un serveur de développement ; un point d'eau; et des e-mails de phishing, explique Anh Ho, chercheur d'ESET, qui a découvert l'attaque.

« Le fait qu’ils orchestrent à la fois une attaque contre la chaîne d’approvisionnement et une attaque contre un point d’eau au cours de la même campagne montre les ressources dont ils disposent », dit-il. "Nightdoor est assez complexe, ce qui est techniquement important, mais à mon avis, l'attribut [le plus important] d'Evasive Panda est la variété des vecteurs d'attaque qu'ils ont pu exécuter."

Evasive Panda est une équipe relativement petite, généralement axée sur la surveillance d'individus et d'organisations en Asie et en Afrique. Le groupe est associé à des attaques contre des entreprises de télécommunications en 2023, baptisées « Opération Tainted Love » par SentinelOne, et associé au groupe d'attribution Granite Typhoon, née Gallium, par Microsoft. On l'appelle aussi Daggerfly par Symantec, et il semble chevaucher un groupe de cybercriminels et d'espionnage connu par Google Mandiant comme APT41.

Points d’eau et compromis dans la chaîne d’approvisionnement

Le groupe, actif depuis 2012, est bien connu pour ses attaques contre la chaîne d'approvisionnement et pour l'utilisation d'identifiants de signature de code et de mises à jour d'applications volés pour infecter les systèmes d’utilisateurs en Chine et en Afrique en 2023.

Dans cette dernière campagne signalée par ESET, le groupe a compromis un site Web pour le festival bouddhiste tibétain Monlam afin de servir une porte dérobée ou un outil de téléchargement, et a placé des charges utiles sur un site d'information tibétain compromis, selon Analyse publiée par ESET.

Le groupe a également ciblé les utilisateurs en compromettant un développeur de logiciel de traduction en tibétain avec des applications trojanisées pour infecter les systèmes Windows et Mac OS.

« À ce stade, il est impossible de savoir exactement quelles informations elles recherchent, mais lorsque les portes dérobées – Nightdoor ou MgBot – sont déployées, la machine de la victime est comme un livre ouvert », explique Ho. "L'attaquant peut accéder à toutes les informations qu'il souhaite."

Evasive Panda a ciblé des individus en Chine à des fins de surveillance, notamment des personnes vivant en Chine continentale, à Hong Kong et à Macao. Le groupe a également compromis les agences gouvernementales en Chine, à Macao et dans les pays d’Asie du Sud-Est et de l’Est.

Lors de la dernière attaque, le Georgia Institute of Technology faisait partie des organisations attaquées aux États-Unis, a déclaré ESET dans son analyse.

Liens avec le cyberespionnage

Evasive Panda a développé son propre framework de malware personnalisé, MgBot, qui implémente une architecture modulaire et a la capacité de télécharger des composants supplémentaires, d'exécuter du code et de voler des données. Entre autres fonctionnalités, les modules MgBot peuvent espionner les victimes compromises et télécharger des fonctionnalités supplémentaires.

En 2020, Panda évasif utilisateurs ciblés en Inde et à Hong Kong utilisant le téléchargeur MgBot pour fournir les charges utiles finales, selon Malwarebytes, qui a lié le groupe à des attaques précédentes en 2014 et 2018.

Nightdoor, une porte dérobée introduite par le groupe en 2020, communique avec un serveur de commande et de contrôle pour émettre des commandes, télécharger des données et créer un shell inversé.

L'ensemble d'outils, dont MgBot, utilisé exclusivement par Evasive Panda, et Nightdoor, pointe directement vers le groupe de cyberespionnage lié à la Chine, a déclaré Ho d'ESET dans l'analyse publiée par la société.

"ESET attribue cette campagne au groupe Evasive Panda APT, sur la base des logiciels malveillants utilisés : MgBot et Nightdoor", indique l'analyse. « Au cours des deux dernières années, nous avons vu les deux portes dérobées être déployées ensemble dans une attaque sans rapport contre une organisation religieuse à Taiwan, dans laquelle elles partageaient également le même serveur de commande [et] de contrôle. »

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-cyber-spies-blend-watering-hole-supply-chain-attacks