Um ataque cibernético direcionado a um grupo de ameaças chinês infectou visitantes de um site de um festival de budismo e usuários de um aplicativo de tradução do idioma tibetano.
A campanha de operações cibernéticas da chamada equipe de hackers Evasive Panda começou em setembro de 2023 ou antes e afetou sistemas na Índia, Taiwan, Austrália, Estados Unidos e Hong Kong, de acordo com uma nova pesquisa da ESET.
Como parte da campanha, os atacantes comprometeram os websites de uma organização sediada na Índia que promove o budismo tibetano; uma empresa de desenvolvimento que produz tradução para o idioma tibetano; e o site de notícias Tibetpost, que hospedou programas maliciosos sem saber. Os visitantes dos sites de regiões globais específicas foram infectados com droppers e backdoors, incluindo o MgBot preferido do grupo, bem como um programa de backdoor relativamente novo, o Nightdoor.
No geral, o grupo executou uma variedade impressionante de vetores de ataque na campanha: um ataque adversário no meio (AitM) por meio de uma atualização de software, explorando um servidor de desenvolvimento; um bebedouro; e e-mails de phishing, diz o pesquisador da ESET Anh Ho, que descobriu o ataque.
“O facto de orquestrarem tanto um ataque à cadeia de abastecimento como um ataque a um watering hole no âmbito da mesma campanha mostra os recursos de que dispõem”, diz ele. “Nightdoor é bastante complexo, o que é tecnicamente significativo, mas na minha opinião o atributo [mais significativo] do Evasive Panda é a variedade de vetores de ataque que eles foram capazes de executar.”
Evasive Panda é uma equipe relativamente pequena, normalmente focada na vigilância de indivíduos e organizações na Ásia e na África. O grupo está associado a ataques a empresas de telecomunicações em 2023, apelidados Operação Tainted Love por SentinelOne, e associado ao grupo de atribuição Granite Typhoon, née Gallium, por Microsoft. Também é conhecido como Daggerfly da Symantec, e parece coincidir com um grupo cibercriminoso e de espionagem conhecido por Google Mandiant como APT41.
Buracos de água e compromissos na cadeia de abastecimento
O grupo, ativo desde 2012, é conhecido por ataques à cadeia de suprimentos e por usar credenciais de assinatura de código roubadas e atualizações de aplicativos para infectar os sistemas de usuários na China e na África em 2023.
Nesta última campanha sinalizada pela ESET, o grupo comprometeu um site do festival budista tibetano Monlam para servir como um backdoor ou ferramenta de download, e plantou cargas úteis em um site de notícias tibetano comprometido, de acordo com Análise publicada da ESET.
O grupo também teve como alvo os usuários, comprometendo um desenvolvedor de software de tradução tibetano com aplicativos trojanizados para infectar sistemas Windows e Mac OS.
“Neste ponto, é impossível saber exatamente quais informações eles procuram, mas quando os backdoors – Nightdoor ou MgBot – são implantados, a máquina da vítima é como um livro aberto”, diz Ho. “O invasor pode acessar qualquer informação que desejar.”
O Evasive Panda tem como alvo indivíduos na China para fins de vigilância, incluindo pessoas que vivem na China continental, Hong Kong e Macau. O grupo também comprometeu agências governamentais na China, Macau e países do Sudeste e Leste Asiático.
No último ataque, o Instituto de Tecnologia da Geórgia estava entre as organizações atacadas nos Estados Unidos, afirmou a ESET na sua análise.
Laços de espionagem cibernética
Evasive Panda desenvolveu sua própria estrutura de malware personalizada, MgBot, que implementa uma arquitetura modular e tem a capacidade de baixar componentes adicionais, executar código e roubar dados. Entre outros recursos, os módulos MgBot podem espionar vítimas comprometidas e baixar recursos adicionais.
Em 2020, Panda Evasivo usuários direcionados na Índia e em Hong Kong usando o downloader MgBot para entregar cargas finais, de acordo com Malwarebytes, que vinculou o grupo a ataques anteriores em 2014 e 2018.
Nightdoor, um backdoor introduzido pelo grupo em 2020, se comunica com um servidor de comando e controle para emitir comandos, fazer upload de dados e criar um shell reverso.
A coleção de ferramentas – incluindo MgBot, usado exclusivamente pelo Evasive Panda, e Nightdoor – aponta diretamente para o grupo de espionagem cibernética ligado à China, afirmou Ho da ESET na análise publicada pela empresa.
“A ESET atribui esta campanha ao grupo Evasive Panda APT, com base no malware que foi utilizado: MgBot e Nightdoor”, afirmou a análise. “Nos últimos dois anos, vimos os dois backdoors serem implantados juntos em um ataque não relacionado contra uma organização religiosa em Taiwan, no qual eles também compartilhavam o mesmo servidor de comando [e] controle.”
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-cyber-spies-blend-watering-hole-supply-chain-attacks
- :tem
- :é
- $UP
- 2012
- 2014
- 2018
- 2020
- 2023
- 7
- a
- habilidade
- Capaz
- Acesso
- Segundo
- ativo
- Adição
- Adicional
- afetado
- África
- Depois de
- contra
- agências
- tb
- entre
- an
- análise
- e
- qualquer
- aparece
- Aplicação
- aplicações
- APT
- arquitetura
- SOMOS
- AS
- Ásia
- asiático
- associado
- At
- ataque
- atacante
- Ataques
- atributos
- Australia
- Porta dos fundos
- Backdoors
- baseado
- sido
- começou
- Blend
- livro
- ambos
- mas a
- by
- Campanha
- CAN
- capacidades
- cadeia
- China
- chinês
- código
- coleção
- Empresa
- integrações
- componentes
- Comprometido
- comprometendo
- ao controle
- crio
- Credenciais
- personalizadas
- cibernético
- Ataque cibernético
- CIBERCRIMINAL
- dados,
- entregar
- implantado
- desenvolvido
- Developer
- Desenvolvimento
- Companhia de desenvolvimento
- diretamente
- descoberto
- download
- apelidado
- Mais cedo
- Leste
- e-mails
- espionagem
- exatamente
- exclusivamente
- executar
- executado
- explorando
- fato
- Funcionalidades
- FESTIVAL
- final
- Empresa
- empresas
- marcado
- focado
- Escolha
- Quadro
- da
- geografias
- Global
- Governo
- agências governamentais
- Grupo
- hacker
- Ter
- he
- Buraco
- Buracos
- Hong
- 香港
- hospedado
- HTTPS
- implementa
- impossível
- impressionante
- in
- Incluindo
- Índia
- indivíduos
- infectado
- INFORMAÇÕES
- Instituto
- introduzido
- emitem
- IT
- ESTÁ
- jpg
- Saber
- conhecido
- Kong
- língua
- mais recente
- como
- ligado
- vida
- gosta,
- mac
- máquina
- continente
- malicioso
- malwares
- Malwarebytes
- Microsoft
- modulares
- Módulos
- a maioria
- my
- Das Nações
- Novo
- notícias
- of
- on
- aberto
- Opinião
- or
- organização
- organizações
- OS
- Outros
- Acima de
- sobreposição
- próprio
- parte
- passado
- Pessoas
- para
- Realizar
- Phishing
- platão
- Inteligência de Dados Platão
- PlatãoData
- ponto
- pontos
- preferido
- anterior
- produz
- Agenda
- Programas
- promove
- publicado
- fins
- bastante
- relativamente
- pesquisa
- investigador
- Recursos
- reverso
- s
- mesmo
- diz
- segurança
- visto
- Setembro
- servir
- servidor
- compartilhado
- concha
- periodo
- desde
- local
- Locais
- pequeno
- Software
- sudeste
- específico
- espiões
- estabelecido
- Unidos
- roubado
- supply
- cadeia de suprimentos
- vigilância
- sistemas
- Taiwan
- visadas
- Profissionais
- tecnicamente
- Tecnologia
- telecomunicações
- que
- A
- então
- deles
- isto
- ameaça
- Algemas
- para
- juntos
- ferramenta
- ferramentas
- Tradução
- dois
- tipicamente
- Unido
- Estados Unidos
- Atualizar
- Atualizações
- usava
- usuários
- utilização
- variedade
- via
- Vítima
- vítimas
- visitantes
- queremos
- foi
- we
- Site
- sites
- BEM
- bem conhecido
- foram
- O Quê
- quando
- qual
- QUEM
- Windows
- de
- dentro
- anos
- zefirnet