การโจมตีทางไซเบอร์แบบมุ่งเป้าหมายที่เชื่อมโยงกับกลุ่มภัยคุกคามของจีนทำให้ผู้เข้าชมเว็บไซต์เทศกาลพุทธศาสนาติดเชื้อและผู้ใช้แอปพลิเคชันแปลภาษาทิเบต
แคมเปญปฏิบัติการทางไซเบอร์โดยทีมแฮ็ค Evasive Panda เริ่มตั้งแต่เดือนกันยายน 2023 หรือก่อนหน้านั้น และส่งผลกระทบต่อระบบในอินเดีย ไต้หวัน ออสเตรเลีย สหรัฐอเมริกา และฮ่องกง ตามการวิจัยใหม่จาก ESET
ส่วนหนึ่งของการรณรงค์ ผู้โจมตีได้บุกรุกเว็บไซต์ขององค์กรในอินเดียที่ส่งเสริมพุทธศาสนาแบบทิเบต บริษัทพัฒนาที่ผลิตงานแปลภาษาทิเบต และเว็บไซต์ข่าว Tibetpost ซึ่งจากนั้นได้โฮสต์โปรแกรมที่เป็นอันตรายโดยไม่รู้ตัว ผู้เยี่ยมชมไซต์จากบางพื้นที่ทั่วโลกติดไวรัส droppers และแบ็คดอร์ รวมถึง MgBot ที่กลุ่มชื่นชอบ เช่นเดียวกับโปรแกรมแบ็คดอร์ที่ค่อนข้างใหม่ Nightdoor
โดยรวมแล้ว กลุ่มได้ดำเนินการกับเวกเตอร์การโจมตีที่หลากหลายในแคมเปญ: การโจมตีฝ่ายตรงข้ามตรงกลาง (AitM) ผ่านการอัพเดตซอฟต์แวร์ การใช้ประโยชน์จากเซิร์ฟเวอร์การพัฒนา รูรดน้ำ และอีเมลฟิชชิ่ง Anh Ho นักวิจัยของ ESET ผู้ค้นพบการโจมตีกล่าว
“ความจริงที่ว่าพวกเขาประสานทั้งห่วงโซ่อุปทานและการโจมตีแบบ Water Hole ภายในแคมเปญเดียวกัน แสดงให้เห็นถึงทรัพยากรที่พวกเขามี” เขากล่าว “Nightdoor ค่อนข้างซับซ้อนซึ่งมีนัยสำคัญทางเทคนิค แต่ในความคิดของฉัน คุณลักษณะ [ที่สำคัญที่สุด] ของ Evasive Panda คือความหลากหลายของเวกเตอร์การโจมตีที่พวกเขาสามารถทำได้”
Evasive Panda เป็นทีมที่ค่อนข้างเล็กซึ่งโดยทั่วไปมุ่งเน้นไปที่การเฝ้าระวังบุคคลและองค์กรในเอเชียและแอฟริกา กลุ่มนี้มีความเกี่ยวข้องกับการโจมตีบริษัทโทรคมนาคมในปี 2023 ปฏิบัติการรักที่เปื้อน โดย SentinelOneและเกี่ยวข้องกับกลุ่มการระบุแหล่งที่มา Granite Typhoon หรือที่ Gallium ต่อ Microsoft. มันยังเป็นที่รู้จักกันในนาม Daggerfly โดยไซแมนเทคและดูเหมือนว่าจะทับซ้อนกับกลุ่มอาชญากรไซเบอร์และการจารกรรมที่รู้จัก Google Mandiant เป็น APT41.
หลุมน้ำและการประนีประนอมของห่วงโซ่อุปทาน
กลุ่มนี้ซึ่งเปิดใช้งานมาตั้งแต่ปี 2012 เป็นที่รู้จักกันดีในด้านการโจมตีห่วงโซ่อุปทานและการใช้ข้อมูลรับรองการลงนามรหัสที่ถูกขโมยและการอัปเดตแอปพลิเคชัน ติดเชื้อในระบบ ของผู้ใช้ในจีนและแอฟริกาในปี 2023
ในแคมเปญล่าสุดที่ ESET ตั้งค่าสถานะ กลุ่มนี้ได้โจมตีเว็บไซต์สำหรับเทศกาล Monlam ของชาวทิเบตเพื่อให้บริการแบ็คดอร์หรือเครื่องมือดาวน์โหลด และวางข้อมูลเพย์โหลดบนเว็บไซต์ข่าวทิเบตที่ถูกบุกรุก บทวิเคราะห์ที่เผยแพร่โดย ESET.
กลุ่มนี้ยังกำหนดเป้าหมายผู้ใช้ด้วยการประนีประนอมผู้พัฒนาซอฟต์แวร์แปลภาษาทิเบตด้วยแอปพลิเคชันโทรจันเพื่อแพร่เชื้อทั้งระบบ Windows และ Mac OS
“ ณ จุดนี้ มันเป็นไปไม่ได้ที่จะรู้ได้อย่างชัดเจนว่าพวกเขาต้องการข้อมูลอะไร แต่เมื่อแบ็คดอร์ – Nightdoor หรือ MgBot – ถูกใช้งาน เครื่องของเหยื่อก็เหมือนกับหนังสือที่เปิดอยู่” Ho กล่าว “ผู้โจมตีสามารถเข้าถึงข้อมูลใดก็ได้ที่พวกเขาต้องการ”
Evasive Panda กำหนดเป้าหมายบุคคลในประเทศจีนเพื่อวัตถุประสงค์ในการเฝ้าระวัง รวมถึงผู้คนที่อาศัยอยู่ในจีนแผ่นดินใหญ่ ฮ่องกง และมาเก๊า กลุ่มนี้ยังได้คุกคามหน่วยงานรัฐบาลในจีน มาเก๊า และประเทศในเอเชียตะวันออกเฉียงใต้และเอเชียตะวันออก
ในการโจมตีครั้งล่าสุด Georgia Institute of Technology เป็นหนึ่งในองค์กรที่ถูกโจมตีในสหรัฐอเมริกา ESET ระบุไว้ในการวิเคราะห์
ความสัมพันธ์จารกรรมทางไซเบอร์
Evasive Panda ได้พัฒนาเฟรมเวิร์กมัลแวร์แบบกำหนดเองของตัวเอง MgBot ซึ่งใช้สถาปัตยกรรมแบบโมดูลาร์และมีความสามารถในการดาวน์โหลดส่วนประกอบเพิ่มเติม รันโค้ด และขโมยข้อมูล ท่ามกลางคุณสมบัติอื่นๆ โมดูล MgBot สามารถสอดแนมเหยื่อที่ถูกบุกรุกและดาวน์โหลดความสามารถเพิ่มเติมได้
ในปี 2020 Evasive Panda ผู้ใช้เป้าหมายในอินเดียและฮ่องกง ใช้ตัวดาวน์โหลด MgBot เพื่อส่งมอบเพย์โหลดสุดท้าย ตามข้อมูลของ Malwarebytes ซึ่งเชื่อมโยงกลุ่มกับการโจมตีครั้งก่อนในปี 2014 และ 2018
Nightdoor ซึ่งเป็นแบ็คดอร์ที่กลุ่มเปิดตัวในปี 2020 สื่อสารกับเซิร์ฟเวอร์สั่งการและควบคุมเพื่อออกคำสั่ง อัปโหลดข้อมูล และสร้าง Reverse Shell
ชุดเครื่องมือต่างๆ รวมถึง MgBot ซึ่งใช้โดย Evasive Panda และ Nightdoor โดยเฉพาะ ชี้ไปที่กลุ่มจารกรรมทางไซเบอร์ที่เชื่อมโยงกับจีนโดยตรง Ho ของ ESET ระบุในการวิเคราะห์ที่เผยแพร่ของบริษัท
“ESET ถือว่าแคมเปญนี้เป็นกลุ่ม Evasive Panda APT โดยพิจารณาจากมัลแวร์ที่ใช้: MgBot และ Nightdoor” การวิเคราะห์ระบุ “ในช่วงสองปีที่ผ่านมา เราได้เห็นแบ็คดอร์ทั้งสองถูกใช้งานร่วมกันในการโจมตีที่ไม่เกี่ยวข้องกับองค์กรทางศาสนาในไต้หวัน ซึ่งพวกเขายังใช้เซิร์ฟเวอร์คำสั่ง [และ] ควบคุมเดียวกันด้วย”
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-cyber-spies-blend-watering-hole-supply-chain-attacks
- :มี
- :เป็น
- $ ขึ้น
- 2012
- 2014
- 2018
- 2020
- 2023
- 7
- a
- ความสามารถ
- สามารถ
- เข้า
- ตาม
- คล่องแคล่ว
- นอกจากนี้
- เพิ่มเติม
- ได้รับผล
- แอฟริกา
- หลังจาก
- กับ
- หน่วยงานที่
- ด้วย
- ในหมู่
- an
- การวิเคราะห์
- และ
- ใด
- ปรากฏ
- การใช้งาน
- การใช้งาน
- APT
- สถาปัตยกรรม
- เป็น
- AS
- เอเชีย
- เอเชีย
- ที่เกี่ยวข้อง
- At
- โจมตี
- โจมตี
- การโจมตี
- แอตทริบิวต์
- ออสเตรเลีย
- ประตูหลัง
- แบ็ค
- ตาม
- รับ
- เริ่ม
- การผสมผสาน
- หนังสือ
- ทั้งสอง
- แต่
- by
- รณรงค์
- CAN
- ความสามารถในการ
- โซ่
- สาธารณรัฐประชาชนจีน
- ชาวจีน
- รหัส
- ชุด
- บริษัท
- ซับซ้อน
- ส่วนประกอบ
- ที่ถูกบุกรุก
- ประนีประนอม
- ควบคุม
- สร้าง
- หนังสือรับรอง
- ประเพณี
- ไซเบอร์
- cyberattack
- อาชญากรไซเบอร์
- ข้อมูล
- ส่งมอบ
- นำไปใช้
- พัฒนา
- ผู้พัฒนา
- พัฒนาการ
- บริษัท พัฒนา
- โดยตรง
- ค้นพบ
- ดาวน์โหลด
- ขนานนามว่า
- ก่อน
- ตะวันออก
- อีเมล
- การจารกรรม
- เผง
- โดยเฉพาะ
- ดำเนินการ
- ดำเนินการ
- การใช้ประโยชน์จาก
- ความจริง
- คุณสมบัติ
- งานเทศกาล
- สุดท้าย
- บริษัท
- บริษัท
- ถูกตั้งค่าสถานะ
- มุ่งเน้น
- สำหรับ
- กรอบ
- ราคาเริ่มต้นที่
- ภูมิศาสตร์
- จอร์เจีย
- เหตุการณ์ที่
- รัฐบาล
- หน่วยงานภาครัฐ
- บัญชีกลุ่ม
- แฮ็ค
- มี
- he
- รู
- หลุม
- ฮ่องกง
- ฮ่องกง
- เป็นเจ้าภาพ
- HTTPS
- การดำเนินการ
- เป็นไปไม่ได้
- ประทับใจ
- in
- รวมทั้ง
- อินเดีย
- บุคคล
- ที่ติดเชื้อ
- ข้อมูล
- สถาบัน
- แนะนำ
- ปัญหา
- IT
- ITS
- jpg
- ทราบ
- ที่รู้จักกัน
- ฮ่องกง
- ภาษา
- ล่าสุด
- กดไลก์
- ที่เชื่อมโยง
- ที่อาศัยอยู่
- ความรัก
- Mac
- เครื่อง
- แผ่นดินใหญ่
- ที่เป็นอันตราย
- มัลแวร์
- Malwarebytes
- ไมโครซอฟท์
- โมดูลาร์
- โมดูล
- มากที่สุด
- my
- เนชั่น
- ใหม่
- ข่าว
- of
- on
- เปิด
- ความคิดเห็น
- or
- organizacja
- องค์กร
- OS
- อื่นๆ
- เกิน
- คาบเกี่ยวกัน
- ของตนเอง
- ส่วนหนึ่ง
- อดีต
- คน
- ต่อ
- ดำเนินการ
- ฟิชชิ่ง
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- จุด
- จุด
- ที่ต้องการ
- ก่อน
- ผลิต
- โครงการ
- โปรแกรม
- ส่งเสริม
- การตีพิมพ์
- วัตถุประสงค์
- ทีเดียว
- สัมพัทธ์
- การวิจัย
- นักวิจัย
- แหล่งข้อมูล
- ย้อนกลับ
- s
- เดียวกัน
- พูดว่า
- ความปลอดภัย
- เห็น
- กันยายน
- ให้บริการ
- เซิร์ฟเวอร์
- ที่ใช้ร่วมกัน
- เปลือก
- สำคัญ
- ตั้งแต่
- เว็บไซต์
- สถานที่ทำวิจัย
- เล็ก
- ซอฟต์แวร์
- ทิศตะวันออกเฉียงใต้
- โดยเฉพาะ
- สายลับ
- ระบุ
- สหรัฐอเมริกา
- ที่ถูกขโมย
- จัดหาอุปกรณ์
- ห่วงโซ่อุปทาน
- การเฝ้าระวัง
- ระบบ
- ไต้หวัน
- เป้าหมาย
- ทีม
- ในทางเทคนิค
- เทคโนโลยี
- โทรคมนาคม
- ที่
- พื้นที่
- แล้วก็
- พวกเขา
- นี้
- การคุกคาม
- ความสัมพันธ์
- ไปยัง
- ร่วมกัน
- เครื่องมือ
- เครื่องมือ
- การแปลภาษา
- สอง
- เป็นปกติ
- พร้อมใจกัน
- ประเทศสหรัฐอเมริกา
- บันทึก
- การปรับปรุง
- มือสอง
- ผู้ใช้
- การใช้
- ความหลากหลาย
- ผ่านทาง
- เหยื่อ
- ผู้ที่ตกเป็นเหยื่อ
- ผู้เข้าชม
- ต้องการ
- คือ
- we
- Website
- เว็บไซต์
- ดี
- โด่งดัง
- คือ
- อะไร
- เมื่อ
- ที่
- WHO
- หน้าต่าง
- กับ
- ภายใน
- ปี
- ลมทะเล