Kina-kopplade cyberspioner blandar vattenhål, attacker från försörjningskedjan

En riktad cyberattack kopplad till en kinesisk hotgrupp infekterade besökare på en webbplats för buddhismfestivaler och användare av en tibetansk översättningsapplikation.

Cyberoperationskampanjen av det så kallade Evasive Panda-hackingteamet började september 2023 eller tidigare och påverkade system i Indien, Taiwan, Australien, USA och Hongkong, enligt ny forskning från ESET.

Som en del av kampanjen äventyrade angriparna webbplatserna för en Indien-baserad organisation som främjar tibetansk buddhism; ett utvecklingsföretag som producerar tibetanska översättningar; och nyhetswebbplatsen Tibetpost, som sedan omedvetet var värd för skadliga program. Besökare till webbplatserna från specifika globala geografier infekterades med droppar och bakdörrar, inklusive gruppens föredragna MgBot samt ett relativt nytt bakdörrsprogram, Nightdoor.

Sammantaget utförde gruppen en imponerande mängd olika attackvektorer i kampanjen: en motståndare-i-mitten (AitM) attack via en mjukvaruuppdatering, utnyttjande av en utvecklingsserver; ett vattenhål; och nätfiske-e-post, säger ESET-forskaren Anh Ho, som upptäckte attacken.

"Det faktum att de orkestrerar både en leveranskedja och vattenhålsattack inom samma kampanj visar upp de resurser de har", säger han. "Nightdoor är ganska komplext, vilket är tekniskt betydelsefullt, men enligt min mening är Evasive Pandas [viktigaste] egenskap mångfalden av attackvektorer de har kunnat utföra."

Evasive Panda är ett relativt litet team som vanligtvis fokuserar på övervakning av individer och organisationer i Asien och Afrika. Gruppen förknippas med attacker mot telekommunikationsföretag 2023, kallad Operation Tainted Love av SentinelOne, och associerad med attributionsgruppen Granite Typhoon, née Gallium, av Microsoft. Det är också känt som Daggerfly från Symantec, och det verkar överlappa med en cyberkriminell och spionagegrupp känd av Google Mandiant som APT41.

Vattenhål och kompromisser i försörjningskedjan

Gruppen, verksam sedan 2012, är välkänd för attacker i supply chain och för att använda stulna kodsigneringsuppgifter och applikationsuppdateringar för att infektera systemen av användare i Kina och Afrika 2023.

I den senaste kampanjen som flaggats av ESET, komprometterade gruppen en webbplats för den tibetanska buddhistiska Monlam-festivalen för att tjäna ett bakdörrs- eller nedladdningsverktyg, och planterade nyttolaster på en utsatt tibetansk nyhetssajt, enligt ESET:s publicerade analys.

Gruppen riktade sig också mot användare genom att kompromissa med en utvecklare av tibetansk översättningsprogram med trojaniserade applikationer för att infektera både Windows- och Mac OS-system.

"Vid det här laget är det omöjligt att veta exakt vilken information de är ute efter, men när bakdörrarna - Nightdoor eller MgBot - är utplacerade är offrets maskin som en öppen bok", säger Ho. "Angriparen kan komma åt vilken information de vill."

Evasive Panda har riktat in sig på individer i Kina i övervakningssyfte, inklusive människor som bor på Kinas fastland, Hongkong och Macao. Gruppen har även kompromissat med statliga myndigheter i Kina, Macao och sydost- och östasiatiska länder.

I den senaste attacken var Georgia Institute of Technology bland de organisationer som attackerades i USA, uppgav ESET i sin analys.

Cyberspionageband

Evasive Panda har utvecklat sitt eget anpassade ramverk för skadlig programvara, MgBot, som implementerar en modulär arkitektur och har förmågan att ladda ner tilläggskomponenter, exekvera kod och stjäla data. Bland andra funktioner kan MgBot-moduler spionera på utsatta offer och ladda ner ytterligare funktioner.

2020, Evasive Panda riktade användare i Indien och Hongkong använder MgBot-nedladdaren för att leverera slutliga nyttolaster, enligt Malwarebytes, som kopplade gruppen till tidigare attacker 2014 och 2018.

Nightdoor, en bakdörr som gruppen introducerade 2020, kommunicerar med en kommando-och-kontrollserver för att utfärda kommandon, ladda upp data och skapa ett omvänt skal.

Samlingen av verktyg – inklusive MgBot, som uteslutande används av Evasive Panda och Nightdoor – pekar direkt på den kinesiska cyberspionagegruppen, uppgav ESETs Ho i företagets publicerade analys.

"ESET tillskriver denna kampanj till Evasive Panda APT-gruppen, baserat på den skadliga programvaran som användes: MgBot och Nightdoor," stod det i analysen. "Under de senaste två åren har vi sett båda bakdörrarna utplacerade tillsammans i en orelaterade attack mot en religiös organisation i Taiwan, där de också delade samma kommando [och] kontrollserver."

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-cyber-spies-blend-watering-hole-supply-chain-attacks