चीन से जुड़े साइबर जासूसों ने वाटरिंग होल, सप्लाई चेन हमलों का मिश्रण किया

एक चीनी खतरा समूह से जुड़े लक्षित वाटरिंग-होल साइबर हमले ने बौद्ध धर्म उत्सव वेबसाइट पर आने वाले आगंतुकों और तिब्बती भाषा अनुवाद एप्लिकेशन के उपयोगकर्ताओं को संक्रमित कर दिया।

ईएसईटी के नए शोध के अनुसार, तथाकथित इवेसिव पांडा हैकिंग टीम द्वारा साइबर-ऑपरेशंस अभियान सितंबर 2023 या उससे पहले शुरू हुआ और भारत, ताइवान, ऑस्ट्रेलिया, संयुक्त राज्य अमेरिका और हांगकांग में सिस्टम प्रभावित हुआ।

अभियान के हिस्से के रूप में, हमलावरों ने एक भारत-आधारित संगठन की वेबसाइटों से समझौता किया जो तिब्बती बौद्ध धर्म को बढ़ावा देता है; एक विकास कंपनी जो तिब्बती भाषा अनुवाद तैयार करती है; और समाचार वेबसाइट तिब्बतपोस्ट, जिसने तब अनजाने में दुर्भावनापूर्ण कार्यक्रम होस्ट किए। विशिष्ट वैश्विक भौगोलिक क्षेत्रों से साइटों पर आने वाले विज़िटर ड्रॉपर और बैकडोर से संक्रमित थे, जिसमें समूह के पसंदीदा MgBot के साथ-साथ अपेक्षाकृत नया बैकडोर प्रोग्राम, नाइटडोर भी शामिल था।

कुल मिलाकर, समूह ने अभियान में आक्रमण वैक्टरों की एक प्रभावशाली विविधता को अंजाम दिया: एक सॉफ्टवेयर अपडेट के माध्यम से एक विरोधी-इन-द-मिडिल (एआईटीएम) हमला, एक विकास सर्वर का शोषण; एक पानी का छेद; और फ़िशिंग ईमेल, ईएसईटी शोधकर्ता अन्ह हो कहते हैं, जिन्होंने हमले की खोज की।

वे कहते हैं, "तथ्य यह है कि वे एक ही अभियान के भीतर आपूर्ति श्रृंखला और वाटरिंग-होल हमले दोनों का आयोजन करते हैं, जो उनके पास मौजूद संसाधनों को दर्शाता है।" "नाइटडोर काफी जटिल है, जो तकनीकी रूप से महत्वपूर्ण है, लेकिन मेरी राय में इवेसिव पांडा की [सबसे महत्वपूर्ण] विशेषता आक्रमण वैक्टरों की विविधता है जो वे करने में सक्षम हैं।"

इवेसिव पांडा एक अपेक्षाकृत छोटी टीम है जो आमतौर पर एशिया और अफ्रीका में व्यक्तियों और संगठनों की निगरानी पर केंद्रित है। यह समूह 2023 में दूरसंचार कंपनियों पर हुए हमलों से जुड़ा है सेंटिनलवन द्वारा ऑपरेशन टैंटेड लव, और एट्रिब्यूशन समूह ग्रेनाइट टाइफून से संबद्ध, नी गैलियम, प्रति माइक्रोसॉफ्ट. इसे के नाम से भी जाना जाता है सिमेंटेक द्वारा डैगरफ्लाई, और ऐसा प्रतीत होता है कि यह ज्ञात साइबर अपराधी और जासूसी समूह के साथ ओवरलैप होता है APT41 के रूप में गूगल मैंडिएंट.

पानी के छेद और आपूर्ति श्रृंखला से समझौता

2012 से सक्रिय यह समूह आपूर्ति श्रृंखला हमलों और चोरी किए गए कोड-हस्ताक्षर क्रेडेंशियल और एप्लिकेशन अपडेट का उपयोग करने के लिए प्रसिद्ध है। सिस्टम को संक्रमित करें 2023 में चीन और अफ़्रीका में उपयोगकर्ताओं की संख्या।

ईएसईटी द्वारा चिह्नित इस नवीनतम अभियान में, समूह ने पिछले दरवाजे या डाउनलोडर टूल की सेवा के लिए तिब्बती बौद्ध मोनलम त्योहार के लिए एक वेबसाइट से समझौता किया, और समझौता किए गए तिब्बती समाचार साइट पर पेलोड लगाया। ESET का प्रकाशित विश्लेषण.

समूह ने विंडोज और मैक ओएस दोनों प्रणालियों को संक्रमित करने के लिए ट्रोजनाइज्ड अनुप्रयोगों के साथ तिब्बती अनुवाद सॉफ्टवेयर के एक डेवलपर से समझौता करके उपयोगकर्ताओं को भी लक्षित किया।

"इस बिंदु पर, यह जानना असंभव है कि वे वास्तव में कौन सी जानकारी चाहते हैं, लेकिन जब पिछले दरवाजे - नाइटडोर या एमजीबॉट - तैनात किए जाते हैं, तो पीड़ित की मशीन एक खुली किताब की तरह होती है," हो कहते हैं। "हमलावर अपनी इच्छानुसार किसी भी जानकारी तक पहुंच सकता है।"

इवेसिव पांडा ने निगरानी उद्देश्यों के लिए चीन के भीतर व्यक्तियों को लक्षित किया है, जिनमें मुख्य भूमि चीन, हांगकांग और मकाओ में रहने वाले लोग शामिल हैं। समूह ने चीन, मकाओ और दक्षिणपूर्व और पूर्वी एशियाई देशों में सरकारी एजेंसियों से भी समझौता किया है।

नवीनतम हमले में, जॉर्जिया इंस्टीट्यूट ऑफ टेक्नोलॉजी संयुक्त राज्य अमेरिका में हमला करने वाले संगठनों में से एक था, ईएसईटी ने अपने विश्लेषण में कहा।

साइबर जासूसी संबंध

इवेसिव पांडा ने अपना स्वयं का कस्टम मैलवेयर फ्रेमवर्क, एमजीबॉट विकसित किया है, जो एक मॉड्यूलर आर्किटेक्चर को लागू करता है और अतिरिक्त घटकों को डाउनलोड करने, कोड निष्पादित करने और डेटा चोरी करने की क्षमता रखता है। अन्य सुविधाओं के अलावा, एमजीबॉट मॉड्यूल समझौता किए गए पीड़ितों की जासूसी कर सकते हैं और अतिरिक्त क्षमताएं डाउनलोड कर सकते हैं।

2020 में, इवेसिव पांडा भारत और हांगकांग में लक्षित उपयोगकर्ता मैलवेयरबाइट्स के अनुसार, अंतिम पेलोड वितरित करने के लिए एमजीबॉट डाउनलोडर का उपयोग करना, जिसने समूह को 2014 और 2018 में पिछले हमलों से जोड़ा।

नाइटडोर, समूह द्वारा 2020 में पेश किया गया एक बैकडोर, कमांड जारी करने, डेटा अपलोड करने और एक रिवर्स शेल बनाने के लिए कमांड-एंड-कंट्रोल सर्वर के साथ संचार करता है।

उपकरणों का संग्रह - एमजीबॉट सहित, विशेष रूप से इवेसिव पांडा और नाइटडोर द्वारा उपयोग किया जाता है - सीधे चीन से जुड़े साइबर-जासूसी समूह की ओर इशारा करता है, ईएसईटी के हो ने फर्म के प्रकाशित विश्लेषण में कहा है।

विश्लेषण में कहा गया है, "ईएसईटी ने इस्तेमाल किए गए मैलवेयर के आधार पर इस अभियान का श्रेय इवेसिव पांडा एपीटी समूह को दिया है: एमजीबॉट और नाइटडोर।" "पिछले दो वर्षों में, हमने ताइवान में एक धार्मिक संगठन के खिलाफ एक असंबंधित हमले में दोनों बैकडोर को एक साथ तैनात होते देखा है, जिसमें उन्होंने एक ही कमांड [और] नियंत्रण सर्वर भी साझा किया था।"

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-cyber-spies-blend-watering-hole-supply-chain-attacks