Целенаправленная кибератака, связанная с китайской группой угроз, заразила посетителей веб-сайта буддийского фестиваля и пользователей приложения для перевода на тибетский язык.
Согласно новому исследованию ESET, кампания по кибероперациям так называемой хакерской команды Evasive Panda началась в сентябре 2023 года или ранее и затронула системы в Индии, Тайване, Австралии, США и Гонконге.
В рамках кампании злоумышленники взломали веб-сайты индийской организации, пропагандирующей тибетский буддизм; компания-разработчик, занимающаяся переводами на тибетский язык; и новостной сайт Tibetpost, на котором затем по незнанию размещались вредоносные программы. Посетители сайтов из определенных регионов мира были заражены дропперами и бэкдорами, включая любимый группой MgBot, а также относительно новую бэкдор-программу Nightdoor.
В целом группа реализовала впечатляющее разнообразие векторов атак в ходе кампании: атака «противник посередине» (AitM) через обновление программного обеспечения с использованием сервера разработки; водопой; и фишинговые электронные письма, говорит исследователь ESET Ань Хо, обнаруживший атаку.
«Тот факт, что они организуют как цепочку поставок, так и атаку на водопои в рамках одной и той же кампании, демонстрирует имеющиеся у них ресурсы», — говорит он. «Nightdoor довольно сложен, что технически важно, но, на мой взгляд, [наиболее важным] атрибутом Evasive Panda является разнообразие векторов атак, которые они могут реализовать».
Evasive Panda — относительно небольшая команда, обычно занимающаяся слежкой за отдельными людьми и организациями в Азии и Африке. Группировка связана с атаками на телекоммуникационные компании в 2023 году, получившими название Операция Tainted Love от SentinelOneи связан с группой атрибуции «Гранитный тайфун», урожденная Галлиум, согласно Microsoft. Он также известен как Даггерфлай от Symantecи, похоже, пересекается с киберпреступной и шпионской группой, известной под Google Mandiant как APT41.
Водопои и компромиссы в цепочке поставок
Группа, действующая с 2012 года, хорошо известна своими атаками на цепочки поставок и использованием украденных учетных данных для подписи кода и обновлений приложений для заражать системы пользователей в Китае и Африке в 2023 году.
По данным ESET, в ходе последней кампании, отмеченной ESET, группа взломала веб-сайт тибетского буддийского фестиваля Монлам, чтобы использовать его в качестве бэкдора или инструмента загрузки, а также разместила полезную нагрузку на взломанном тибетском новостном сайте. Опубликованный анализ ESET.
Группа также преследовала пользователей, скомпрометировав разработчика программного обеспечения для перевода на тибетский язык с помощью троянских приложений для заражения систем Windows и Mac OS.
«На данный момент невозможно точно знать, какую информацию они ищут, но когда задействуются бэкдоры — Nightdoor или MgBot — машина жертвы становится похожей на открытую книгу», — говорит Хо. «Злоумышленник может получить доступ к любой информации, которую захочет».
Evasive Panda в целях наблюдения преследовала людей на территории Китая, в том числе людей, живущих в материковом Китае, Гонконге и Макао. Группа также скомпрометировала правительственные учреждения в Китае, Макао, а также в странах Юго-Восточной и Восточной Азии.
В ходе последней атаки Технологический институт Джорджии был среди организаций, атакованных в США, говорится в анализе ESET.
Кибершпионские связи
Evasive Panda разработала собственную вредоносную среду MgBot, которая реализует модульную архитектуру и имеет возможность загружать дополнительные компоненты, выполнять код и красть данные. Помимо других функций, модули MgBot могут шпионить за скомпрометированными жертвами и загружать дополнительные возможности.
В 2020 году Evasive Panda целевые пользователи в Индии и Гонконге использование загрузчика MgBot для доставки окончательных полезных данных, согласно данным Malwarebytes, которые связали группу с предыдущими атаками в 2014 и 2018 годах.
Nightdoor, бэкдор, который группа представила в 2020 году, взаимодействует с сервером управления для выдачи команд, загрузки данных и создания обратной оболочки.
Набор инструментов, в том числе MgBot, используемый исключительно Evasive Panda и Nightdoor, напрямую указывает на связанную с Китаем группу кибершпионажа, заявил Хо из ESET в опубликованном анализе компании.
«ESET приписывает эту кампанию APT-группе Evasive Panda на основании использованного вредоносного ПО: MgBot и Nightdoor», — говорится в анализе. «За последние два года мы видели, как оба бэкдора были задействованы вместе в несвязанной атаке на религиозную организацию на Тайване, в которой они также использовали один и тот же сервер управления».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-cyber-spies-blend-watering-hole-supply-chain-attacks
- :имеет
- :является
- $UP
- 2012
- 2014
- 2018
- 2020
- 2023
- 7
- a
- способность
- в состоянии
- доступ
- По
- активный
- дополнение
- дополнительный
- пострадавших
- Африка
- После
- против
- агентствах
- причислены
- среди
- an
- анализ
- и
- любой
- появляется
- Применение
- Приложения
- APT
- архитектура
- МЫ
- AS
- Азия
- азиатский
- связанный
- At
- атаковать
- нападающий
- нападки
- Атрибуты
- Австралия
- задняя дверь
- Черные ходы
- основанный
- было
- начал
- Бленд
- книга
- изоферменты печени
- но
- by
- Кампания
- CAN
- возможности
- цепь
- Китай
- китайский
- код
- лыжных шлемов
- Компания
- комплекс
- компоненты
- Ослабленный
- компромат
- контроль
- Создайте
- Полномочия
- изготовленный на заказ
- кибер-
- Кибератака
- КИБЕРПРЕСТУПНИК
- данным
- доставить
- развернуть
- развитый
- Застройщик
- Развитие
- Девелоперская компания
- непосредственно
- открытый
- скачать
- дублированный
- Ранее
- восток
- Писем
- шпионаж
- точно,
- исключительно
- выполнять
- выполненный
- эксплуатации
- факт
- Особенности
- ФЕСТИВАЛЬ
- окончательный
- Фирма
- Компаний
- Помеченные
- внимание
- Что касается
- Рамки
- от
- географии
- ГРУЗИИ
- Глобальный
- Правительство
- государственные учреждения
- группы
- взлом
- Есть
- he
- Отверстие
- Отверстия
- Hong
- Гонконге
- состоялся
- HTTPS
- инвентарь
- что она
- впечатляющий
- in
- В том числе
- Индия
- лиц
- инфицированный
- информация
- Институт
- выпустили
- вопрос
- IT
- ЕГО
- JPG
- Знать
- известный
- Kong
- язык
- последний
- такое как
- связанный
- жизнью
- любят
- макинтош
- машина
- материк
- злонамеренный
- вредоносных программ
- Malwarebytes
- Microsoft
- модульный
- Модули
- самых
- my
- Наций
- Новые
- Новости
- of
- on
- открытый
- Обзор
- or
- организация
- организации
- OS
- Другое
- за
- перекрытие
- собственный
- часть
- мимо
- Люди
- для
- Выполнять
- фишинг
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Точка
- пунктов
- привилегированный
- предыдущий
- производит
- FitPartner™
- Программы
- способствует
- опубликованный
- целей
- вполне
- относительно
- исследованиям
- исследователь
- Полезные ресурсы
- обратный
- s
- то же
- говорит
- безопасность
- видел
- сентябрь
- служить
- сервер
- общие
- Оболочка
- значительный
- с
- сайте
- Сайтов
- небольшой
- Software
- юго-восток
- конкретный
- шпионы
- заявил
- Области
- украли
- поставка
- цепочками поставок
- наблюдение
- системы
- Тайвань
- целевое
- команда
- технически
- Технологии
- связь
- который
- Ассоциация
- тогда
- они
- этой
- угроза
- Галстуки
- в
- вместе
- инструментом
- инструменты
- Переводы
- два
- типично
- Объединенный
- США
- Обновление ПО
- Updates
- используемый
- пользователей
- через
- разнообразие
- с помощью
- Жертва
- жертвы
- посетителей
- хотеть
- законопроект
- we
- Вебсайт
- веб-сайты
- ЧТО Ж
- известный
- были
- Что
- когда
- который
- КТО
- окна
- в
- лет
- зефирнет