Kínához kapcsolt kiberkémek keveréke, víznyelő, ellátási lánc támadások

Egy kínai fenyegetőcsoporthoz kapcsolódó célzott kibertámadás megfertőzte egy buddhizmus fesztivál webhelyének látogatóit és egy tibeti nyelvi fordítóalkalmazás felhasználóit.

Az ESET új kutatása szerint az úgynevezett Evasive Panda hackercsapat kiberműveleti kampánya 2023 szeptemberében vagy korábban kezdődött, és Indiában, Tajvanon, Ausztráliában, az Egyesült Államokban és Hongkongban érintett rendszereket.

A kampány részeként a támadók feltörték egy indiai székhelyű, a tibeti buddhizmust népszerűsítő szervezet weboldalait; egy fejlesztő cég, amely tibeti nyelvi fordítást készít; és a Tibetpost hírportál, amely akkoriban tudtán kívül rosszindulatú programokat tárolt. Az oldalak meghatározott globális földrajzi területeiről érkező látogatókat dropperekkel és hátsó ajtókkal fertőzték meg, beleértve a csoport által preferált MgBotot, valamint egy viszonylag új backdoor programot, a Nightdoort.

Összességében a csoport lenyűgöző támadási vektorok széles választékát hajtotta végre a kampányban: egy AitM támadást egy szoftverfrissítésen keresztül, kihasználva egy fejlesztői szervert; öntözőnyílás; és adathalász e-mailek – mondja Anh Ho, az ESET kutatója, aki felfedezte a támadást.

„Az a tény, hogy ugyanazon a kampányon belül egy ellátási láncot és egy csapadékos támadást is megszerveznek, jól mutatja, milyen erőforrásaik vannak” – mondja. "A Nightdoor meglehetősen összetett, ami technikailag jelentős, de véleményem szerint az Evasive Panda [legjelentősebb] tulajdonsága a különböző támadási vektorok, amelyeket képesek voltak végrehajtani."

Az Evasive Panda egy viszonylag kis csapat, amely jellemzően egyének és szervezetek megfigyelésére összpontosít Ázsiában és Afrikában. A csoportot a távközlési cégek elleni 2023-as támadásokhoz hozzák összefüggésbe, szinkronizálva A SentinelOne Tainted Love hadművelete, és a Granite Typhoon hozzárendelési csoporthoz kapcsolódik, név: Gallium, Microsoft. Úgy is ismert, mint Daggerfly a Symantectől, és úgy tűnik, hogy átfedésben van egy kiberbűnözői és kémcsoporttal, amelyet ismert Google Mandiant mint APT41.

Öntözési lyukak és az ellátási lánc kompromisszumai

A 2012 óta működő csoport jól ismert az ellátási lánc támadásairól, valamint arról, hogy ellopott kód-aláíró hitelesítő adatokat és alkalmazásfrissítéseket használ. megfertőzni a rendszereket Kínában és Afrikában a felhasználók száma 2023-ban.

Ebben a legutóbbi, az ESET által megjelölt kampányban a csoport feltörte a tibeti buddhista monlam fesztivál webhelyét, hogy egy hátsó ajtót vagy letöltő eszközt szolgáltasson, és rakományokat helyezett el egy kompromittált tibeti híroldalon. Az ESET közzétett elemzése.

A csoport a felhasználókat is célba vette azzal, hogy kompromittálta a tibeti fordítószoftver fejlesztőjét trójai alkalmazásokkal, hogy megfertőzze mind a Windows, mind a Mac OS rendszereket.

„Ebben a pillanatban nem lehet tudni, hogy pontosan milyen információk után kutatnak, de amikor a hátsó ajtók – Nightdoor vagy MgBot – be vannak kapcsolva, az áldozat gépe olyan, mint egy nyitott könyv” – mondja Ho. "A támadó bármilyen információhoz hozzáférhet, amit akar."

Az Evasive Panda megfigyelési célból Kínában tartózkodó egyéneket vett célba, köztük Kínában, Hongkongban és Makaón élőket. A csoport Kínában, Makaóban, valamint a délkelet- és kelet-ázsiai országokban is kompromittálta a kormányhivatalokat.

A legutóbbi támadásban a Georgia Institute of Technology is az Egyesült Államokban támadott szervezetek közé tartozott – állapította meg elemzésében az ESET.

Kiberkémkapcsolatok

Az Evasive Panda kifejlesztette saját egyéni kártevő-keretrendszerét, az MgBot-ot, amely moduláris architektúrát valósít meg, és képes kiegészítő komponensek letöltésére, kód futtatására és adatok ellopására. Többek között az MgBot modulok kémkedhetnek a veszélyeztetett áldozatok után, és további képességeket tölthetnek le.

2020-ban az Evasive Panda célzott felhasználók Indiában és Hongkongban a Malwarebytes szerint az MgBot letöltőt használta a végső rakományok eljuttatására, amely összekapcsolta a csoportot a korábbi 2014-es és 2018-as támadásokkal.

A Nightdoor, a csoport 2020-ban bevezetett hátsó ajtója egy parancs- és vezérlőszerverrel kommunikál, hogy parancsokat adjon ki, adatokat töltsön fel, és hozzon létre egy fordított shellt.

Az eszközök gyűjteménye – köztük az MgBot, amelyet kizárólag az Evasive Panda és a Nightdoor használ – közvetlenül a Kínához köthető kiberkémkedési csoportra utal – szögezte le az ESET Ho a cég közzétett elemzésében.

„Az ESET ezt a kampányt az Evasive Panda APT csoportnak tulajdonítja a felhasznált rosszindulatú programok, az MgBot és a Nightdoor alapján” – áll az elemzésben. „Az elmúlt két évben mindkét hátsó ajtót együtt vetettük be egy független támadásban egy vallási szervezet ellen Tajvanon, amelyben ugyanazt a parancsnoki [és] vezérlőkiszolgálót is megosztották.”

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-cyber-spies-blend-watering-hole-supply-chain-attacks