중국과 연계된 사이버 스파이의 혼합 워터링 홀, 공급망 공격

중국 위협 그룹과 연계된 표적형 워터링 홀 사이버 공격으로 불교 축제 웹사이트 방문자와 티베트어 번역 애플리케이션 사용자가 감염되었습니다.

ESET의 새로운 연구에 따르면 소위 Evasive Panda 해킹 팀의 사이버 작전 캠페인은 2023년 XNUMX월 이전에 시작되었으며 인도, 대만, 호주, 미국 및 홍콩의 시스템에 영향을 미쳤습니다.

캠페인의 일환으로 공격자들은 인도에 기반을 두고 티베트 불교를 홍보하는 조직의 웹사이트를 손상시켰습니다. 티베트어 번역을 생산하는 개발 회사; 그리고 뉴스 웹사이트인 Tibetpost는 자신도 모르게 악성 프로그램을 호스팅했습니다. 특정 글로벌 지역의 사이트 방문자들은 그룹이 선호하는 MgBot과 비교적 새로운 백도어 프로그램인 Nightdoor를 포함하여 드로퍼와 백도어에 감염되었습니다.

전반적으로 그룹은 캠페인에서 매우 다양한 공격 벡터를 실행했습니다. 즉, 개발 서버를 악용하는 소프트웨어 업데이트를 통한 AitM(중간자 공격) 공격; 물웅덩이; 이 공격을 발견한 ESET 연구원 Anh Ho는 피싱 이메일이 포함되어 있다고 말했습니다.

“동일한 캠페인 내에서 공급망과 워터링 홀 공격을 모두 조율한다는 사실은 그들이 보유한 리소스를 보여줍니다.”라고 그는 말합니다. "Nightdoor는 매우 복잡하여 기술적으로 중요합니다. 하지만 제 생각에는 Evasive Panda의 [가장 중요한] 특성은 그들이 수행할 수 있는 공격 벡터의 다양성입니다."

Evasive Panda는 일반적으로 아시아와 아프리카의 개인과 조직을 감시하는 데 초점을 맞춘 비교적 소규모 팀입니다. 이 그룹은 2023년 통신 회사에 대한 공격과 연관되어 있습니다. SentinelOne의 오염된 사랑 작전(Operation Tainted Love), 그리고 속성 그룹 Granite Typhoon과 연관되어 있으며, Microsoft에 따르면 née Gallium. 또한 다음과 같이 알려져 있습니다. 시만텍의 Daggerfly, 으로 알려진 사이버 범죄 및 간첩 그룹과 중복되는 것으로 보입니다. Google Mandiant(APT41).

급수 구멍 및 공급망 손상

2012년부터 활동한 이 그룹은 공급망 공격과 훔친 코드 서명 자격 증명 및 애플리케이션 업데이트를 사용하는 것으로 잘 알려져 있습니다. 시스템을 감염시키다 2023년 중국과 아프리카 사용자 수.

ESET이 표시한 이 최신 캠페인에서 이 그룹은 티베트 불교 Monlam 축제 웹사이트를 손상시켜 백도어 또는 다운로더 도구를 제공하고 손상된 티베트 뉴스 사이트에 페이로드를 심었습니다. ESET의 발표된 분석.

또한 이 그룹은 Windows와 Mac OS 시스템을 모두 감염시키기 위해 트로이 목마 애플리케이션으로 티베트어 번역 소프트웨어 개발자를 감염시켜 사용자를 표적으로 삼았습니다.

Ho는 "현 시점에서는 이들이 정확히 어떤 정보를 찾고 있는지 알 수 없지만 백도어(Nightdoor 또는 MgBot)가 배포되면 피해자의 컴퓨터는 펼쳐진 책과 같습니다."라고 말합니다. “공격자는 원하는 모든 정보에 접근할 수 있습니다.”

Evasive Panda는 감시 목적으로 중국 본토, 홍콩, 마카오에 거주하는 사람들을 포함하여 중국 내 개인을 표적으로 삼았습니다. 이 그룹은 또한 중국, 마카오, 동남아시아 및 동아시아 국가의 정부 기관을 손상시켰습니다.

이번 공격에서 조지아 공과대학(Georgia Institute of Technology)은 미국에서 공격을 받은 조직 중 하나였다고 ESET은 분석에서 밝혔습니다.

사이버 간첩 관계

Evasive Panda는 모듈식 아키텍처를 구현하고 추가 구성 요소를 다운로드하고, 코드를 실행하고, 데이터를 훔칠 수 있는 기능을 갖춘 자체 맞춤형 악성 코드 프레임워크인 MgBot을 개발했습니다. 다른 기능 중에서 MgBot 모듈은 손상된 피해자를 감시하고 추가 기능을 다운로드할 수 있습니다.

2020년에는 회피 팬더 인도와 홍콩의 타겟 사용자 Malwarebytes에 따르면 MgBot 다운로더를 사용하여 최종 페이로드를 전달했다고 합니다. Malwarebytes는 이 그룹을 2014년과 2018년의 이전 공격과 연결시켰습니다.

그룹이 2020년에 도입한 백도어인 Nightdoor는 명령 및 제어 서버와 통신하여 명령을 실행하고, 데이터를 업로드하고, 리버스 셸을 생성합니다.

ESET의 Ho는 ESET의 발표된 분석에서 밝혔듯이 Evasive Panda가 독점적으로 사용하는 MgBot과 Nightdoor를 포함한 도구 모음은 중국과 연계된 사이버 간첩 그룹을 직접적으로 가리킨다고 밝혔습니다.

“ESET은 사용된 악성 코드인 MgBot 및 Nightdoor를 기반으로 이 캠페인을 Evasive Panda APT 그룹의 소행으로 간주했습니다.”라고 분석했습니다. “지난 2년 동안 우리는 두 백도어가 대만의 한 종교 조직에 대한 관련 없는 공격에 함께 배포되는 것을 보았습니다. 두 백도어는 동일한 명령 및 제어 서버를 공유했습니다.”

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-cyber-spies-blend-watering-hole-supply-chain-attacks