Ukierunkowany cyberatak wodopoju powiązany z chińską grupą zagrożeń zainfekował osoby odwiedzające stronę internetową festiwalu buddyjskiego oraz użytkowników aplikacji do tłumaczenia języka tybetańskiego.
Jak wynika z nowego badania firmy ESET, kampania cyberoperacyjna prowadzona przez tak zwany zespół hakerski Evasive Panda rozpoczęła się we wrześniu 2023 roku lub wcześniej i dotyczyła systemów w Indiach, Tajwanie, Australii, Stanach Zjednoczonych i Hongkongu.
W ramach kampanii napastnicy włamali się na strony internetowe indyjskiej organizacji promującej buddyzm tybetański; firma deweloperska zajmująca się tłumaczeniami na język tybetański; oraz serwis informacyjny Tibetpost, który następnie nieświadomie hostował szkodliwe programy. Odwiedzający witryny z określonych obszarów geograficznych na całym świecie zostali zainfekowani dropperami i backdoorami, w tym preferowanym przez grupę MgBotem, a także stosunkowo nowym programem typu backdoor Nightdoor.
Ogólnie rzecz biorąc, w kampanii grupa zastosowała imponującą różnorodność wektorów ataków: atak typu adversary-in-the-middle (AitM) za pośrednictwem aktualizacji oprogramowania z wykorzystaniem serwera programistycznego; wodopoj; i wiadomości e-mail typu phishing, twierdzi Anh Ho, badaczka firmy ESET, która odkryła atak.
„Fakt, że w ramach tej samej kampanii organizują zarówno atak na łańcuch dostaw, jak i atak na wodopoje, pokazuje, jakimi zasobami dysponują” – mówi. „Nocne drzwi są dość złożone, co ma znaczenie techniczne, ale moim zdaniem [najważniejszą] cechą Evasive Panda jest różnorodność wektorów ataku, które są w stanie wykonać”.
Evasive Panda to stosunkowo niewielki zespół, który zazwyczaj koncentruje się na inwigilacji osób i organizacji w Azji i Afryce. Grupa jest powiązana z atakami na firmy telekomunikacyjne w 2023 r., tzw Operacja Tainted Love autorstwa SentinelOnei powiązany z grupą atrybucyjną Granite Typhoon, z domu Gallium, według Microsoft. Znany jest również jako Daggerfly firmy Symanteci wydaje się, że pokrywa się z grupą cyberprzestępczą i szpiegowską znaną przez Mandiant Google jako APT41.
Podlewanie dziur i kompromisy w łańcuchu dostaw
Grupa działająca od 2012 r. jest dobrze znana z ataków na łańcuch dostaw oraz z wykorzystywania skradzionych danych uwierzytelniających do podpisywania kodu i aktualizacji aplikacji do infekować systemy użytkowników w Chinach i Afryce w 2023 r.
W najnowszej kampanii oznaczonej przez firmę ESET grupa włamała się na stronę internetową tybetańskiego festiwalu buddyjskiego Monlam, aby udostępnić backdoora lub narzędzie do pobierania, a także umieściła ładunki w zainfekowanej tybetańskiej witrynie informacyjnej. Opublikowana analiza firmy ESET.
Celem grupy było także wykorzystanie twórcy oprogramowania do tłumaczenia języka tybetańskiego za pomocą trojanów, które infekowały zarówno systemy Windows, jak i Mac OS.
„W tym momencie nie można dokładnie określić, jakich informacji szukają, ale kiedy zostaną zainstalowane tylne drzwi — Nightdoor lub MgBot — maszyna ofiary przypomina otwartą książkę” – mówi Ho. „Napastnik może uzyskać dostęp do wszelkich informacji, jakie chce”.
Celem inwigilacji programu Evasive Panda są osoby w Chinach, w tym osoby mieszkające w Chinach kontynentalnych, Hongkongu i Makau. Grupa naraziła także na szwank agencje rządowe w Chinach, Makau oraz krajach Azji Południowo-Wschodniej i Wschodniej.
Jak stwierdziła firma ESET w swojej analizie, w ostatnim ataku Georgia Institute of Technology znalazł się wśród organizacji zaatakowanych w Stanach Zjednoczonych.
Powiązania cyberszpiegowskie
Evasive Panda opracowała własną, niestandardową platformę złośliwego oprogramowania, MgBot, która implementuje architekturę modułową i ma możliwość pobierania dodatkowych komponentów, wykonywania kodu i kradzieży danych. Moduły MgBot mogą między innymi szpiegować zaatakowane ofiary i pobierać dodatkowe funkcje.
W 2020 r. Panda wymijająca skierowanych do użytkowników w Indiach i Hongkongu Według Malwarebytes, które powiązało tę grupę z poprzednimi atakami z 2014 i 2018 roku, używało modułu pobierania MgBot do dostarczania ostatecznych ładunków.
Nightdoor, backdoor wprowadzony przez grupę w 2020 roku, komunikuje się z serwerem dowodzenia i kontroli w celu wydawania poleceń, przesyłania danych i tworzenia powłoki odwrotnej.
Zbiór narzędzi — w tym MgBot, używany wyłącznie przez Evasive Panda i Nightdoor — bezpośrednio wskazuje na powiązaną z Chinami grupę cyberszpiegowską, stwierdził Ho z ESET w opublikowanej analizie firmy.
„ESET przypisuje tę kampanię grupie Evasive Panda APT na podstawie użytego szkodliwego oprogramowania: MgBot i Nightdoor” – stwierdzono w analizie. „W ciągu ostatnich dwóch lat byliśmy świadkami jednoczesnego użycia obu backdoorów w niepowiązanym ataku na organizację religijną na Tajwanie, w ramach którego korzystały one również z tego samego serwera dowodzenia i kontroli”.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-cyber-spies-blend-watering-hole-supply-chain-attacks
- :ma
- :Jest
- $W GÓRĘ
- 2012
- 2014
- 2018
- 2020
- 2023
- 7
- a
- zdolność
- Zdolny
- dostęp
- Stosownie
- aktywny
- dodatek
- Dodatkowy
- afektowany
- Afryka
- Po
- przed
- agencje
- również
- wśród
- an
- analiza
- i
- każdy
- pojawia się
- Zastosowanie
- aplikacje
- APT
- architektura
- SĄ
- AS
- Azja
- azjatyckiego
- powiązany
- At
- atakować
- napastnik
- Ataki
- atrybuty
- Australia
- tylne drzwi
- Backdoory
- na podstawie
- być
- rozpoczął
- Mieszanka
- książka
- obie
- ale
- by
- Kampania
- CAN
- możliwości
- łańcuch
- Chiny
- chiński
- kod
- kolekcja
- sukcesy firma
- kompleks
- składniki
- Zagrożone
- kompromis
- kontrola
- Stwórz
- Listy uwierzytelniające
- zwyczaj
- cyber
- Cyber atak
- CYBERPRZESTĘPCA
- dane
- dostarczyć
- wdrażane
- rozwinięty
- Deweloper
- oprogramowania
- Firma deweloperska
- bezpośrednio
- odkryty
- pobieranie
- dubbingowane
- Wcześniej
- Wschód
- e-maile
- szpiegostwo
- dokładnie
- wyłącznie
- wykonać
- wykonany
- wykorzystywanie
- fakt
- Korzyści
- FESTIWAL
- finał
- Firma
- firmy
- taflowy
- koncentruje
- W razie zamówieenia projektu
- Framework
- od
- geografie
- Globalne
- Rząd
- agencje rządowe
- Zarządzanie
- włamanie
- Have
- he
- Otwór
- Dziury
- Hong
- Hongkong
- hostowane
- HTTPS
- narzędzia
- niemożliwy
- imponujący
- in
- Włącznie z
- Indie
- osób
- zarażony
- Informacja
- Instytut
- wprowadzono
- problem
- IT
- JEGO
- jpg
- Wiedzieć
- znany
- Kong
- język
- firmy
- lubić
- powiązany
- życie
- miłość
- mac
- maszyna
- kontynent
- złośliwy
- malware
- Malwarebytes
- Microsoft
- Modułowa
- Moduły
- większość
- my
- Narodów
- Nowości
- aktualności
- of
- on
- koncepcja
- Opinia
- or
- organizacja
- organizacji
- OS
- Inne
- koniec
- zakładka
- własny
- część
- Przeszłość
- Ludzie
- dla
- wykonać
- phishing
- plato
- Analiza danych Platona
- PlatoDane
- punkt
- zwrotnica
- Korzystny
- poprzedni
- produkuje
- Program
- Programy
- promuje
- opublikowany
- cele
- całkiem
- stosunkowo
- Badania naukowe
- badacz
- Zasoby
- rewers
- s
- taki sam
- mówią
- bezpieczeństwo
- widziany
- wrzesień
- służyć
- serwer
- shared
- Powłoka
- znaczący
- ponieważ
- witryna internetowa
- Witryny
- mały
- Tworzenie
- na południowy wschód
- specyficzny
- szpiedzy
- stwierdził,
- Zjednoczone
- skradziony
- Dostawa
- łańcuch dostaw
- inwigilacja
- systemy
- Tajwan
- ukierunkowane
- zespół
- technicznie
- Technologia
- telekomunikacja
- że
- Połączenia
- następnie
- one
- to
- groźba
- Krawaty
- do
- razem
- narzędzie
- narzędzia
- Tłumaczenie
- drugiej
- zazwyczaj
- Zjednoczony
- United States
- Aktualizacja
- Nowości
- używany
- Użytkownicy
- za pomocą
- różnorodność
- przez
- Ofiara
- Ofiary
- odwiedzający
- chcieć
- była
- we
- Strona internetowa
- strony internetowe
- DOBRZE
- znane
- były
- Co
- jeśli chodzi o komunikację i motywację
- który
- KIM
- okna
- w
- w ciągu
- lat
- zefirnet