Serangan siber yang ditargetkan dan terkait dengan kelompok ancaman Tiongkok menginfeksi pengunjung situs web festival Budha dan pengguna aplikasi terjemahan bahasa Tibet.
Kampanye operasi siber yang dilakukan oleh tim peretasan Evasive Panda dimulai pada September 2023 atau lebih awal dan memengaruhi sistem di India, Taiwan, Australia, Amerika Serikat, dan Hong Kong, menurut penelitian baru dari ESET.
Sebagai bagian dari kampanye tersebut, para penyerang menyusupi situs web sebuah organisasi yang berbasis di India yang mempromosikan agama Buddha Tibet; sebuah perusahaan pengembangan yang memproduksi terjemahan bahasa Tibet; dan situs berita Tibetpost, yang kemudian tanpa sadar menampung program jahat. Pengunjung situs dari geografi global tertentu terinfeksi dropper dan pintu belakang, termasuk MgBot pilihan grup serta program pintu belakang yang relatif baru, Nightdoor.
Secara keseluruhan, kelompok ini mengeksekusi berbagai macam vektor serangan dalam kampanyenya: serangan musuh di tengah (AitM) melalui pembaruan perangkat lunak, mengeksploitasi server pengembangan; lubang berair; dan email phishing, kata peneliti ESET Anh Ho, yang menemukan serangan tersebut.
โFakta bahwa mereka mengatur rantai pasokan dan serangan dalam kampanye yang sama menunjukkan sumber daya yang mereka miliki,โ katanya. โNightdoor cukup kompleks, yang secara teknis signifikan, namun menurut saya atribut [paling signifikan] Evasive Panda adalah variasi vektor serangan yang mampu mereka lakukan.โ
Evasive Panda adalah tim yang relatif kecil yang biasanya berfokus pada pengawasan individu dan organisasi di Asia dan Afrika. Kelompok ini dikaitkan dengan serangan terhadap perusahaan telekomunikasi pada tahun 2023, dijuluki Operasi Cinta Tercemar oleh SentinelOne, dan terkait dengan grup atribusi Granite Typhoon, nรฉe Gallium, menurut Microsoft. Itu juga dikenal sebagai Belati oleh Symantec, dan tampaknya tumpang tindih dengan kelompok penjahat dunia maya dan spionase yang dikenal oleh Google Mandiant sebagai APT41.
Lubang Pengairan dan Kompromi Rantai Pasokan
Kelompok ini, yang aktif sejak tahun 2012, terkenal karena serangan rantai pasokan dan penggunaan kredensial penandatanganan kode curian serta pembaruan aplikasi untuk menginfeksi sistem pengguna di Tiongkok dan Afrika pada tahun 2023.
Dalam kampanye terbaru yang ditandai oleh ESET ini, kelompok tersebut menyusupi situs web festival Monlam Buddha Tibet untuk menyediakan pintu belakang atau alat pengunduh, dan menanam muatan di situs berita Tibet yang telah disusupi, menurut Analisis yang diterbitkan ESET.
Kelompok ini juga menargetkan pengguna dengan menyusupi pengembang perangkat lunak terjemahan Tibet dengan aplikasi Trojan untuk menginfeksi sistem Windows dan Mac OS.
โPada titik ini, tidak mungkin untuk mengetahui secara pasti informasi apa yang mereka cari, namun ketika pintu belakang โ Nightdoor atau MgBot โ digunakan, mesin korban seperti buku terbuka,โ kata Ho. โPenyerang dapat mengakses informasi apa pun yang mereka inginkan.โ
Evasive Panda telah menargetkan individu di Tiongkok untuk tujuan pengawasan, termasuk orang-orang yang tinggal di daratan Tiongkok, Hong Kong, dan Makau. Kelompok ini juga telah mengkompromikan lembaga-lembaga pemerintah di Tiongkok, Makau, dan negara-negara Asia Tenggara dan Timur.
Dalam serangan terbaru ini, Institut Teknologi Georgia termasuk di antara organisasi yang diserang di Amerika Serikat, ESET menyatakan dalam analisisnya.
Ikatan Spionase Dunia Maya
Evasive Panda telah mengembangkan kerangka malware kustomnya sendiri, MgBot, yang mengimplementasikan arsitektur modular dan memiliki kemampuan untuk mengunduh komponen tambahan, mengeksekusi kode, dan mencuri data. Di antara fitur-fitur lainnya, modul MgBot dapat memata-matai korban yang disusupi dan mengunduh kemampuan tambahan.
Pada tahun 2020, Panda Evasif pengguna yang ditargetkan di India dan Hong Kong menggunakan pengunduh MgBot untuk mengirimkan muatan akhir, menurut Malwarebytes, yang menghubungkan grup tersebut dengan serangan sebelumnya pada tahun 2014 dan 2018.
Nightdoor, pintu belakang yang diperkenalkan grup pada tahun 2020, berkomunikasi dengan server perintah dan kontrol untuk mengeluarkan perintah, mengunggah data, dan membuat shell terbalik.
Kumpulan alat tersebut โ termasuk MgBot, yang digunakan secara eksklusif oleh Evasive Panda, dan Nightdoor โ secara langsung menunjuk pada kelompok spionase dunia maya yang terkait dengan Tiongkok, kata Ho dari ESET dalam analisis yang dipublikasikan oleh perusahaan tersebut.
โESET mengaitkan kampanye ini dengan grup Evasive Panda APT, berdasarkan malware yang digunakan: MgBot dan Nightdoor,โ kata analisis tersebut. โSelama dua tahun terakhir, kami telah melihat kedua pintu belakang dikerahkan bersama-sama dalam serangan yang tidak terkait terhadap sebuah organisasi keagamaan di Taiwan, di mana mereka juga berbagi server komando [dan] kendali yang sama.โ
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-cyber-spies-blend-watering-hole-supply-chain-attacks
- :memiliki
- :adalah
- $NAIK
- 2012
- 2014
- 2018
- 2020
- 2023
- 7
- a
- kemampuan
- Sanggup
- mengakses
- Menurut
- aktif
- tambahan
- Tambahan
- terpengaruh
- Afrika
- Setelah
- terhadap
- lembaga
- juga
- antara
- an
- analisis
- dan
- Apa pun
- muncul
- Aplikasi
- aplikasi
- APT
- arsitektur
- ADALAH
- AS
- Asia
- Asia
- terkait
- At
- menyerang
- penyerang
- Serangan
- atribut
- Australia
- pintu belakang
- backdoors
- berdasarkan
- menjadi
- mulai
- Campuran
- Book
- kedua
- tapi
- by
- Kampanye
- CAN
- kemampuan
- rantai
- Tiongkok
- Cina
- kode
- koleksi
- perusahaan
- kompleks
- komponen
- Dikompromikan
- kompromi
- kontrol
- membuat
- Surat kepercayaan
- adat
- maya
- Serangan cyber
- PENJAHAT SIBER
- data
- menyampaikan
- dikerahkan
- dikembangkan
- Pengembang
- Pengembangan
- Perusahaan Pengembangan
- langsung
- ditemukan
- Download
- dijuluki
- Terdahulu
- Timur
- spionase
- persis
- khusus
- menjalankan
- dieksekusi
- mengeksploitasi
- fakta
- Fitur
- FESTIVAL
- terakhir
- Perusahaan
- perusahaan
- ditandai
- terfokus
- Untuk
- Kerangka
- dari
- geografi
- Georgia
- Aksi
- Pemerintah
- instansi pemerintah
- Kelompok
- peretasan
- Memiliki
- he
- Lubang
- Lubang
- Hong
- Hong Kong
- host
- HTTPS
- mengimplementasikan
- mustahil
- impresif
- in
- Termasuk
- India
- individu
- terinfeksi
- informasi
- Lembaga
- diperkenalkan
- isu
- IT
- NYA
- jpg
- Tahu
- dikenal
- Kong
- bahasa
- Terbaru
- 'like'
- terkait
- hidup
- cinta
- mac
- mesin
- daratan
- jahat
- malware
- Malwarebytes
- Microsoft
- modular
- Modul
- paling
- my
- Bangsa
- New
- berita
- of
- on
- Buka
- Pendapat
- or
- organisasi
- organisasi
- OS
- Lainnya
- lebih
- tumpang tindih
- sendiri
- bagian
- lalu
- Konsultan Ahli
- untuk
- Melakukan
- Phishing
- plato
- Kecerdasan Data Plato
- Data Plato
- Titik
- poin
- disukai
- sebelumnya
- menghasilkan
- program
- program
- mempromosikan
- diterbitkan
- tujuan
- agak
- relatif
- penelitian
- peneliti
- Sumber
- membalikkan
- s
- sama
- mengatakan
- keamanan
- terlihat
- September
- melayani
- Server
- berbagi
- Kulit
- penting
- sejak
- situs web
- Situs
- kecil
- Perangkat lunak
- tenggara
- tertentu
- mata-mata
- menyatakan
- Negara
- dicuri
- menyediakan
- supply chain
- pengawasan
- sistem
- Taiwan
- ditargetkan
- tim
- teknis
- Teknologi
- telekomunikasi
- bahwa
- Grafik
- kemudian
- mereka
- ini
- ancaman
- Dasi
- untuk
- bersama
- alat
- alat
- Terjemahan
- dua
- khas
- Serikat
- Amerika Serikat
- Memperbarui
- Pembaruan
- bekas
- Pengguna
- menggunakan
- variasi
- melalui
- Korban
- korban
- pengunjung
- ingin
- adalah
- we
- Situs Web
- situs web
- BAIK
- terkenal
- adalah
- Apa
- ketika
- yang
- SIAPA
- Windows
- dengan
- dalam
- tahun
- zephyrnet.dll
