Powiązani z Chinami cyberszpiedzy mieszają się do wodopoju i ataków na łańcuch dostaw

Ukierunkowany cyberatak wodopoju powiązany z chińską grupą zagrożeń zainfekował osoby odwiedzające stronę internetową festiwalu buddyjskiego oraz użytkowników aplikacji do tłumaczenia języka tybetańskiego.

Jak wynika z nowego badania firmy ESET, kampania cyberoperacyjna prowadzona przez tak zwany zespół hakerski Evasive Panda rozpoczęła się we wrześniu 2023 roku lub wcześniej i dotyczyła systemów w Indiach, Tajwanie, Australii, Stanach Zjednoczonych i Hongkongu.

W ramach kampanii napastnicy włamali się na strony internetowe indyjskiej organizacji promującej buddyzm tybetański; firma deweloperska zajmująca się tłumaczeniami na język tybetański; oraz serwis informacyjny Tibetpost, który następnie nieświadomie hostował szkodliwe programy. Odwiedzający witryny z określonych obszarów geograficznych na całym świecie zostali zainfekowani dropperami i backdoorami, w tym preferowanym przez grupę MgBotem, a także stosunkowo nowym programem typu backdoor Nightdoor.

Ogólnie rzecz biorąc, w kampanii grupa zastosowała imponującą różnorodność wektorów ataków: atak typu adversary-in-the-middle (AitM) za pośrednictwem aktualizacji oprogramowania z wykorzystaniem serwera programistycznego; wodopoj; i wiadomości e-mail typu phishing, twierdzi Anh Ho, badaczka firmy ESET, która odkryła atak.

„Fakt, że w ramach tej samej kampanii organizują zarówno atak na łańcuch dostaw, jak i atak na wodopoje, pokazuje, jakimi zasobami dysponują” – mówi. „Nocne drzwi są dość złożone, co ma znaczenie techniczne, ale moim zdaniem [najważniejszą] cechą Evasive Panda jest różnorodność wektorów ataku, które są w stanie wykonać”.

Evasive Panda to stosunkowo niewielki zespół, który zazwyczaj koncentruje się na inwigilacji osób i organizacji w Azji i Afryce. Grupa jest powiązana z atakami na firmy telekomunikacyjne w 2023 r., tzw Operacja Tainted Love autorstwa SentinelOnei powiązany z grupą atrybucyjną Granite Typhoon, z domu Gallium, według Microsoft. Znany jest również jako Daggerfly firmy Symanteci wydaje się, że pokrywa się z grupą cyberprzestępczą i szpiegowską znaną przez Mandiant Google jako APT41.

Podlewanie dziur i kompromisy w łańcuchu dostaw

Grupa działająca od 2012 r. jest dobrze znana z ataków na łańcuch dostaw oraz z wykorzystywania skradzionych danych uwierzytelniających do podpisywania kodu i aktualizacji aplikacji do infekować systemy użytkowników w Chinach i Afryce w 2023 r.

W najnowszej kampanii oznaczonej przez firmę ESET grupa włamała się na stronę internetową tybetańskiego festiwalu buddyjskiego Monlam, aby udostępnić backdoora lub narzędzie do pobierania, a także umieściła ładunki w zainfekowanej tybetańskiej witrynie informacyjnej. Opublikowana analiza firmy ESET.

Celem grupy było także wykorzystanie twórcy oprogramowania do tłumaczenia języka tybetańskiego za pomocą trojanów, które infekowały zarówno systemy Windows, jak i Mac OS.

„W tym momencie nie można dokładnie określić, jakich informacji szukają, ale kiedy zostaną zainstalowane tylne drzwi — Nightdoor lub MgBot — maszyna ofiary przypomina otwartą książkę” – mówi Ho. „Napastnik może uzyskać dostęp do wszelkich informacji, jakie chce”.

Celem inwigilacji programu Evasive Panda są osoby w Chinach, w tym osoby mieszkające w Chinach kontynentalnych, Hongkongu i Makau. Grupa naraziła także na szwank agencje rządowe w Chinach, Makau oraz krajach Azji Południowo-Wschodniej i Wschodniej.

Jak stwierdziła firma ESET w swojej analizie, w ostatnim ataku Georgia Institute of Technology znalazł się wśród organizacji zaatakowanych w Stanach Zjednoczonych.

Powiązania cyberszpiegowskie

Evasive Panda opracowała własną, niestandardową platformę złośliwego oprogramowania, MgBot, która implementuje architekturę modułową i ma możliwość pobierania dodatkowych komponentów, wykonywania kodu i kradzieży danych. Moduły MgBot mogą między innymi szpiegować zaatakowane ofiary i pobierać dodatkowe funkcje.

W 2020 r. Panda wymijająca skierowanych do użytkowników w Indiach i Hongkongu Według Malwarebytes, które powiązało tę grupę z poprzednimi atakami z 2014 i 2018 roku, używało modułu pobierania MgBot do dostarczania ostatecznych ładunków.

Nightdoor, backdoor wprowadzony przez grupę w 2020 roku, komunikuje się z serwerem dowodzenia i kontroli w celu wydawania poleceń, przesyłania danych i tworzenia powłoki odwrotnej.

Zbiór narzędzi — w tym MgBot, używany wyłącznie przez Evasive Panda i Nightdoor — bezpośrednio wskazuje na powiązaną z Chinami grupę cyberszpiegowską, stwierdził Ho z ESET w opublikowanej analizie firmy.

„ESET przypisuje tę kampanię grupie Evasive Panda APT na podstawie użytego szkodliwego oprogramowania: MgBot i Nightdoor” – stwierdzono w analizie. „W ciągu ostatnich dwóch lat byliśmy świadkami jednoczesnego użycia obu backdoorów w niepowiązanym ataku na organizację religijną na Tajwanie, w ramach którego korzystały one również z tego samego serwera dowodzenia i kontroli”.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-cyber-spies-blend-watering-hole-supply-chain-attacks