Un atac cibernetic țintit, legat de un grup de amenințare chinez, a infectat vizitatorii site-ului web al unui festival budist și utilizatorii unei aplicații de traducere în limba tibetană.
Campania de operațiuni cibernetice a așa-numitei echipe de hacking Evasive Panda a început în septembrie 2023 sau mai devreme și a afectat sisteme din India, Taiwan, Australia, Statele Unite și Hong Kong, potrivit unei noi cercetări de la ESET.
Ca parte a campaniei, atacatorii au compromis site-urile web ale unei organizații din India care promovează budismul tibetan; o companie de dezvoltare care produce traduceri în limba tibetană; și site-ul de știri Tibetpost, care apoi a găzduit fără să știe programe rău intenționate. Vizitatorii site-urilor din anumite zone geografice globale au fost infectați cu droppers și backdoors, inclusiv MgBot preferat de grup, precum și un program de backdoor relativ nou, Nightdoor.
În general, grupul a executat o varietate impresionantă de vectori de atac în campanie: un atac adversar-in-the-middle (AitM) printr-o actualizare software, exploatând un server de dezvoltare; o gaură de apă; și e-mailuri de phishing, spune cercetătorul ESET Anh Ho, care a descoperit atacul.
„Faptul că orchestrează atât un lanț de aprovizionare, cât și un atac de apă în cadrul aceleiași campanii, arată resursele pe care le au”, spune el. „Nightdoor este destul de complex, ceea ce este semnificativ din punct de vedere tehnic, dar în opinia mea, atributul [cel mai semnificativ] al lui Evasive Panda este varietatea vectorilor de atac pe care i-au putut realiza.”
Evasive Panda este o echipă relativ mică, concentrată de obicei pe supravegherea persoanelor și organizațiilor din Asia și Africa. Grupul este asociat cu atacuri asupra firmelor de telecomunicații în 2023, supranumit Operațiunea Tainted Love de SentinelOneși asociat cu grupul de atribuire Granite Typhoon, născut Gallium, de la Microsoft. Este cunoscut și ca Daggerfly de la Symantec, și pare să se suprapună cu un grup de criminali cibernetici și de spionaj cunoscut de Google Mandiant ca APT41.
Găuri de udare și compromisuri în lanțul de aprovizionare
Grupul, activ din 2012, este binecunoscut pentru atacurile lanțului de aprovizionare și pentru utilizarea acreditărilor furate de semnare a codului și a actualizărilor aplicațiilor pentru infecta sistemele de utilizatori din China și Africa în 2023.
În această ultimă campanie semnalată de ESET, grupul a compromis un site web pentru festivalul budist tibetan Monlam pentru a oferi o ușă din spate sau un instrument de descărcare și a plantat încărcături utile pe un site de știri tibetan compromis, potrivit Analiza publicată de ESET.
De asemenea, grupul a vizat utilizatorii prin compromiterea unui dezvoltator de software de traducere tibetană cu aplicații troiene pentru a infecta atât sistemele Windows, cât și Mac OS.
„În acest moment, este imposibil să știi exact ce informații caută, dar când ușile din spate – Nightdoor sau MgBot – sunt desfășurate, mașina victimei este ca o carte deschisă”, spune Ho. „Atacatorul poate accesa orice informație dorește.”
Evasive Panda a vizat persoane din China în scopuri de supraveghere, inclusiv persoane care trăiesc în China continentală, Hong Kong și Macao. Grupul a compromis și agențiile guvernamentale din China, Macao și țările din Asia de Sud-Est și de Est.
În cel mai recent atac, Institutul de Tehnologie din Georgia a fost printre organizațiile atacate în Statele Unite, a precizat ESET în analiza sa.
Legături de spionaj cibernetic
Evasive Panda și-a dezvoltat propriul cadru de malware personalizat, MgBot, care implementează o arhitectură modulară și are capacitatea de a descărca componente suplimentare, de a executa cod și de a fura date. Printre alte caracteristici, modulele MgBot pot spiona victimele compromise și pot descărca capabilități suplimentare.
În 2020, Evasive Panda utilizatorii vizați din India și Hong Kong folosind aplicația de descărcare MgBot pentru a livra încărcături finale, potrivit Malwarebytes, care a legat grupul de atacurile anterioare din 2014 și 2018.
Nightdoor, o ușă din spate introdusă de grup în 2020, comunică cu un server de comandă și control pentru a emite comenzi, a încărca date și a crea un shell invers.
Colecția de instrumente – inclusiv MgBot, folosit exclusiv de Evasive Panda și Nightdoor – indică direct grupul de spionaj cibernetic legat de China, a declarat Ho de la ESET în analiza publicată a companiei.
„ESET atribuie această campanie grupului Evasive Panda APT, pe baza malware-ului utilizat: MgBot și Nightdoor”, se arată în analiza. „În ultimii doi ani, am văzut ambele uși din spate desfășurate împreună într-un atac fără legătură împotriva unei organizații religioase din Taiwan, în care au împărtășit, de asemenea, același server de comandă [și] de control.”
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-cyber-spies-blend-watering-hole-supply-chain-attacks
- :are
- :este
- $UP
- 2012
- 2014
- 2018
- 2020
- 2023
- 7
- a
- capacitate
- Capabil
- acces
- Conform
- activ
- plus
- Suplimentar
- afectat
- Africa
- După
- împotriva
- Agențiile
- de asemenea
- printre
- an
- analiză
- și
- Orice
- apare
- aplicație
- aplicatii
- APT
- arhitectură
- SUNT
- AS
- Asia
- asiatic
- asociate
- At
- ataca
- atacator
- Atacuri
- atribute
- Australia
- ușă din dos
- Backdoors
- bazat
- fost
- început
- Amesteca
- carte
- atât
- dar
- by
- Campanie
- CAN
- capacități
- lanţ
- China
- chinez
- cod
- colectare
- companie
- complex
- componente
- compromis
- compromisor
- Control
- crea
- scrisori de acreditare
- personalizat
- Cyber
- Atac cibernetic
- CYBERCRIMINAL
- de date
- livra
- dislocate
- dezvoltat
- Dezvoltator
- Dezvoltare
- Companie de dezvoltare
- direct
- a descoperit
- Descarca
- numit
- Mai devreme
- Est
- e-mailuri
- spionaj
- exact
- exclusiv
- a executa
- executat
- exploatând
- fapt
- DESCRIERE
- FESTIVALUL
- final
- Firmă
- firme
- fanionat
- concentrat
- Pentru
- Cadru
- din
- geografii
- Georgia
- Caritate
- Guvern
- agentii guvernamentale
- grup
- hacking
- Avea
- he
- Gaură
- găuri
- Hong
- Hong Kong
- găzduit
- HTTPS
- ustensile
- imposibil
- impresionant
- in
- Inclusiv
- India
- persoane fizice
- infectate
- informații
- Institut
- introdus
- problema
- IT
- ESTE
- jpg
- Cunoaște
- cunoscut
- Kong
- limbă
- Ultimele
- ca
- legate de
- viaţă
- dragoste
- mac
- maşină
- continent
- rău
- malware
- Malwarebytes
- Microsoft
- modular
- Module
- cele mai multe
- my
- Națiuni
- Nou
- ştiri
- of
- on
- deschide
- Opinie
- or
- organizație
- organizații
- OS
- Altele
- peste
- suprapune
- propriu
- parte
- trecut
- oameni
- pentru
- Efectua
- Phishing
- Plato
- Informații despre date Platon
- PlatoData
- Punct
- puncte
- preferat
- precedent
- produce
- Program
- Programe
- promovează
- publicat
- scopuri
- cu totul
- relativ
- cercetare
- cercetător
- Resurse
- inversa
- s
- acelaşi
- spune
- securitate
- văzut
- Septembrie
- servi
- serverul
- comun
- Coajă
- semnificativ
- întrucât
- teren
- Centre de cercetare
- mic
- Software
- Sud Est
- specific
- spioni
- stabilit
- Statele
- furate
- livra
- lanțului de aprovizionare
- supraveghere
- sisteme
- Taiwan
- vizate
- echipă
- tehnic
- Tehnologia
- de telecomunicaţii
- acea
- apoi
- ei
- acest
- amenințare
- Legături
- la
- împreună
- instrument
- Unelte
- Traducere
- Două
- tipic
- Unit
- Statele Unite
- Actualizează
- actualizări
- utilizat
- utilizatorii
- folosind
- varietate
- de
- Victimă
- victime
- vizitatori
- vrea
- a fost
- we
- website
- site-uri web
- BINE
- bine cunoscut
- au fost
- Ce
- cand
- care
- OMS
- ferestre
- cu
- în
- ani
- zephyrnet
