Связанные с Китаем кибершпионы смешивают водопой и атаки на цепочки поставок

Целенаправленная кибератака, связанная с китайской группой угроз, заразила посетителей веб-сайта буддийского фестиваля и пользователей приложения для перевода на тибетский язык.

Согласно новому исследованию ESET, кампания по кибероперациям так называемой хакерской команды Evasive Panda началась в сентябре 2023 года или ранее и затронула системы в Индии, Тайване, Австралии, США и Гонконге.

В рамках кампании злоумышленники взломали веб-сайты индийской организации, пропагандирующей тибетский буддизм; компания-разработчик, занимающаяся переводами на тибетский язык; и новостной сайт Tibetpost, на котором затем по незнанию размещались вредоносные программы. Посетители сайтов из определенных регионов мира были заражены дропперами и бэкдорами, включая любимый группой MgBot, а также относительно новую бэкдор-программу Nightdoor.

В целом группа реализовала впечатляющее разнообразие векторов атак в ходе кампании: атака «противник посередине» (AitM) через обновление программного обеспечения с использованием сервера разработки; водопой; и фишинговые электронные письма, говорит исследователь ESET Ань Хо, обнаруживший атаку.

«Тот факт, что они организуют как цепочку поставок, так и атаку на водопои в рамках одной и той же кампании, демонстрирует имеющиеся у них ресурсы», — говорит он. «Nightdoor довольно сложен, что технически важно, но, на мой взгляд, [наиболее важным] атрибутом Evasive Panda является разнообразие векторов атак, которые они могут реализовать».

Evasive Panda — относительно небольшая команда, обычно занимающаяся слежкой за отдельными людьми и организациями в Азии и Африке. Группировка связана с атаками на телекоммуникационные компании в 2023 году, получившими название Операция Tainted Love от SentinelOneи связан с группой атрибуции «Гранитный тайфун», урожденная Галлиум, согласно Microsoft. Он также известен как Даггерфлай от Symantecи, похоже, пересекается с киберпреступной и шпионской группой, известной под Google Mandiant как APT41.

Водопои и компромиссы в цепочке поставок

Группа, действующая с 2012 года, хорошо известна своими атаками на цепочки поставок и использованием украденных учетных данных для подписи кода и обновлений приложений для заражать системы пользователей в Китае и Африке в 2023 году.

По данным ESET, в ходе последней кампании, отмеченной ESET, группа взломала веб-сайт тибетского буддийского фестиваля Монлам, чтобы использовать его в качестве бэкдора или инструмента загрузки, а также разместила полезную нагрузку на взломанном тибетском новостном сайте. Опубликованный анализ ESET.

Группа также преследовала пользователей, скомпрометировав разработчика программного обеспечения для перевода на тибетский язык с помощью троянских приложений для заражения систем Windows и Mac OS.

«На данный момент невозможно точно знать, какую информацию они ищут, но когда задействуются бэкдоры — Nightdoor или MgBot — машина жертвы становится похожей на открытую книгу», — говорит Хо. «Злоумышленник может получить доступ к любой информации, которую захочет».

Evasive Panda в целях наблюдения преследовала людей на территории Китая, в том числе людей, живущих в материковом Китае, Гонконге и Макао. Группа также скомпрометировала правительственные учреждения в Китае, Макао, а также в странах Юго-Восточной и Восточной Азии.

В ходе последней атаки Технологический институт Джорджии был среди организаций, атакованных в США, говорится в анализе ESET.

Кибершпионские связи

Evasive Panda разработала собственную вредоносную среду MgBot, которая реализует модульную архитектуру и имеет возможность загружать дополнительные компоненты, выполнять код и красть данные. Помимо других функций, модули MgBot могут шпионить за скомпрометированными жертвами и загружать дополнительные возможности.

В 2020 году Evasive Panda целевые пользователи в Индии и Гонконге использование загрузчика MgBot для доставки окончательных полезных данных, согласно данным Malwarebytes, которые связали группу с предыдущими атаками в 2014 и 2018 годах.

Nightdoor, бэкдор, который группа представила в 2020 году, взаимодействует с сервером управления для выдачи команд, загрузки данных и создания обратной оболочки.

Набор инструментов, в том числе MgBot, используемый исключительно Evasive Panda и Nightdoor, напрямую указывает на связанную с Китаем группу кибершпионажа, заявил Хо из ESET в опубликованном анализе компании.

«ESET приписывает эту кампанию APT-группе Evasive Panda на основании использованного вредоносного ПО: MgBot и Nightdoor», — говорится в анализе. «За последние два года мы видели, как оба бэкдора были задействованы вместе в несвязанной атаке на религиозную организацию на Тайване, в которой они также использовали один и тот же сервер управления».

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-cyber-spies-blend-watering-hole-supply-chain-attacks