中国関連のサイバースパイが水飲み場とサプライチェーン攻撃を融合

中国の脅威グループに関連した標的型水飲み場型サイバー攻撃により、仏教祭りの Web サイトへの訪問者とチベット語翻訳アプリケーションのユーザーが感染しました。

ESETの新たな調査によると、いわゆるEvasive Pandaハッキングチームによるサイバー作戦は2023年XNUMX月以前に始まり、インド、台湾、オーストラリア、米国、香港のシステムに影響を与えた。

キャンペーンの一環として、攻撃者はインドに拠点を置き、チベット仏教を推進する組織の Web サイトを侵害しました。チベット語翻訳を制作する開発会社。ニュース Web サイト Tibetpost は、知らず知らずのうちに悪意のあるプログラムをホストしていました。世界の特定の地域からサイトへの訪問者は、グループが推奨する MgBot や比較的新しいバックドア プログラムである Nightdoor など、ドロッパーやバックドアに感染しました。

全体として、このグループはキャンペーンで印象に残るさまざまな攻撃ベクトルを実行しました。開発サーバーを悪用したソフトウェア アップデートを介した中間者攻撃 (AitM) 攻撃です。水飲み場。この攻撃を発見したESETの研究者Anh Ho氏は、フィッシングメールなどの攻撃があったと述べている。

「彼らが同じキャンペーン内でサプライチェーンと水飲み場攻撃の両方を組織しているという事実は、彼らが持っているリソースを示しています」と彼は言います。 「Nightdoor は非常に複雑で、技術的には重要ですが、私の考えでは、Evasive Panda の [最も重要な] 特性は、実行できる攻撃ベクトルの多様性です。」

Evasive Panda は比較的小規模なチームで、通常はアジアとアフリカの個人や組織の監視に重点を置いています。このグループは、2023 年の電気通信会社への攻撃に関与しているとされています。 SentinelOne による「Operation Tainted Love」、アトリビューション グループ Granite タイフーンに関連付けられています。 旧姓ガリウム、Microsoft より。としても知られています シマンテック社のダガーフライ、そしてそれは、によって知られているサイバー犯罪およびスパイグループと重複しているようです。 APT41 としての Google Mandiant.

水飲み場とサプライチェーンの侵害

このグループは 2012 年から活動しており、サプライ チェーン攻撃や、盗まれたコード署名資格情報やアプリケーションのアップデートを使用して、 システムに感染する 2023 年の中国とアフリカのユーザーの割合。

ESETが報告したこの最新のキャンペーンでは、同グループはチベット仏教モンラム祭のWebサイトを侵害してバックドアやダウンローダーツールを提供し、侵害されたチベットのニュースサイトにペイロードを仕掛けたという。 ESETが公開した分析.

このグループはまた、チベット語翻訳ソフトウェアの開発者をトロイの木馬化したアプリケーションで侵害し、Windows と Mac OS の両方のシステムに感染させることでユーザーをターゲットにしました。

「現時点で、彼らがどのような情報を狙っているのかを正確に知ることは不可能ですが、バックドア (Nightdoor や MgBot) が導入されると、被害者のマシンは開かれた本のようなものになります」とホー氏は言います。 「攻撃者は望むあらゆる情報にアクセスできます。」

Evasive Panda は、中国本土、香港、マカオに住む人々を含む中国国内の個人を監視目的でターゲットにしています。このグループはまた、中国、マカオ、東南アジアおよび東アジア諸国の政府機関にも侵入しました。

ESETは分析の中で、今回の攻撃では、米国で攻撃された組織の中にジョージア工科大学も含まれていたと述べた。

サイバースパイ活動の関係

Evasive Panda は、モジュラー アーキテクチャを実装し、追加コンポーネントをダウンロードし、コードを実行し、データを盗む機能を備えた独自のカスタム マルウェア フレームワーク MgBot を開発しました。他の機能の中でも、MgBot モジュールは侵害された被害者を監視し、追加機能をダウンロードできます。

2020年、回避パンダ インドと香港のターゲットユーザー Malwarebytes によると、MgBot ダウンローダーを使用して最終ペイロードを配信しており、このグループは 2014 年と 2018 年の以前の攻撃に関与しているとされています。

同グループが2020年に導入したバックドアであるNightdoorは、コマンドアンドコントロールサーバーと通信してコマンドを発行し、データをアップロードし、リバースシェルを作成する。

Evasive Pandaのみが使用するMgBotやNightdoorを含むツールのコレクションは、中国と関連のあるサイバースパイグループを直接示しているとESETのホー氏は同社が公表した分析で述べた。

「ESETは、使用されたマルウェアであるMgBotとNightdoorに基づいて、このキャンペーンはEvasive Panda APTグループによるものであると分析しています」と分析では述べています。 「過去 2 年間にわたり、台湾の宗教団体に対する無関係な攻撃で両方のバックドアが一緒に導入され、同じコマンド [および] 制御サーバーも共有されているのを確認しました。」

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/cyberattacks-data-breaches/china-linked-cyber-spies-blend-watering-hole-supply-chain-attacks