Le spie informatiche legate alla Cina fondono Watering Hole e attacchi alla catena di fornitura

Un attacco informatico mirato collegato a un gruppo di minaccia cinese ha infettato i visitatori del sito web di un festival buddista e gli utenti di un'applicazione di traduzione in lingua tibetana.

Secondo una nuova ricerca di ESET, la campagna di operazioni informatiche del cosiddetto team di hacking Evasive Panda è iniziata nel settembre 2023 o prima e ha colpito sistemi in India, Taiwan, Australia, Stati Uniti e Hong Kong.

Nell'ambito della campagna, gli aggressori hanno compromesso i siti web di un'organizzazione con sede in India che promuove il buddismo tibetano; una società di sviluppo che produce traduzioni in lingua tibetana; e il sito web di notizie Tibetpost, che poi ha ospitato inconsapevolmente programmi dannosi. I visitatori dei siti provenienti da specifiche aree geografiche globali sono stati infettati da dropper e backdoor, tra cui MgBot preferito dal gruppo, nonché un programma backdoor relativamente nuovo, Nightdoor.

Nel complesso, il gruppo ha eseguito una varietà impressionante di vettori di attacco nella campagna: un attacco AitM (Adversary-in-the-middle) tramite un aggiornamento software, sfruttando un server di sviluppo; un abbeveratoio; ed e-mail di phishing, afferma il ricercatore ESET Anh Ho, che ha scoperto l'attacco.

“Il fatto che organizzino sia un attacco alla catena di approvvigionamento che un attacco ai pozzi d’acqua all’interno della stessa campagna dimostra le risorse di cui dispongono”, afferma. "Nightdoor è piuttosto complesso, il che è tecnicamente significativo, ma secondo me la caratteristica [più significativa] di Evasive Panda è la varietà dei vettori di attacco che sono in grado di eseguire."

Evasive Panda è un team relativamente piccolo tipicamente concentrato sulla sorveglianza di individui e organizzazioni in Asia e Africa. Il gruppo è associato agli attacchi alle società di telecomunicazioni nel 2023, soprannominati Operazione Amore Tainted di SentinelOnee associato al gruppo di attribuzione Granite Typhoon, nata Gallium, per Microsoft. È anche noto come Daggerfly di Symantec, e sembra sovrapporsi a un gruppo di criminali informatici e spionaggio noto da Google Mandiant come APT41.

Pochi d’acqua e compromessi nella catena di fornitura

Il gruppo, attivo dal 2012, è noto per attacchi alla catena di fornitura e per l'utilizzo di credenziali di firma del codice e aggiornamenti di applicazioni rubati per infettare i sistemi di utenti in Cina e Africa nel 2023.

In quest'ultima campagna segnalata da ESET, il gruppo ha compromesso un sito web per il festival buddista tibetano Monlam per fornire una backdoor o uno strumento di download e ha installato payload su un sito di notizie tibetano compromesso, secondo quanto riportato da Analisi pubblicata da ESET.

Il gruppo ha inoltre preso di mira gli utenti compromettendo uno sviluppatore di software di traduzione tibetano con applicazioni trojan per infettare sia i sistemi Windows che Mac OS.

"A questo punto è impossibile sapere esattamente quali informazioni stanno cercando, ma quando vengono utilizzate le backdoor, Nightdoor o MgBot, la macchina della vittima è come un libro aperto", afferma Ho. "L'aggressore può accedere a tutte le informazioni che desidera."

Evasive Panda ha preso di mira individui all'interno della Cina a fini di sorveglianza, comprese persone che vivono nella Cina continentale, a Hong Kong e a Macao. Il gruppo ha anche compromesso agenzie governative in Cina, Macao e nelle nazioni del sud-est e dell’est asiatico.

Nell'ultimo attacco, il Georgia Institute of Technology era tra le organizzazioni attaccate negli Stati Uniti, ha affermato ESET nella sua analisi.

Legami di spionaggio informatico

Evasive Panda ha sviluppato il proprio framework malware personalizzato, MgBot, che implementa un'architettura modulare e ha la capacità di scaricare componenti aggiuntivi, eseguire codice e rubare dati. Tra le altre funzionalità, i moduli MgBot possono spiare le vittime compromesse e scaricare funzionalità aggiuntive.

Nel 2020, Panda Evasivo utenti mirati in India e Hong Kong utilizzando il downloader MgBot per fornire i payload finali, secondo Malwarebytes, che collega il gruppo a precedenti attacchi nel 2014 e nel 2018.

Nightdoor, una backdoor introdotta dal gruppo nel 2020, comunica con un server di comando e controllo per impartire comandi, caricare dati e creare una shell inversa.

L'insieme di strumenti, tra cui MgBot, utilizzato esclusivamente da Evasive Panda, e Nightdoor, punta direttamente al gruppo di spionaggio informatico legato alla Cina, ha affermato Ho di ESET nell'analisi pubblicata dall'azienda.

"ESET attribuisce questa campagna al gruppo Evasive Panda APT, in base al malware utilizzato: MgBot e Nightdoor", afferma l'analisi. "Negli ultimi due anni, abbiamo visto entrambe le backdoor schierate insieme in un attacco non correlato contro un'organizzazione religiosa a Taiwan, in cui condividevano anche lo stesso server di comando [e] controllo."

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-cyber-spies-blend-watering-hole-supply-chain-attacks