与中国有关的网络间谍混合水坑和供应链攻击

与中国威胁组织有关的有针对性的水坑网络攻击感染了佛教节日网站的访问者和藏语翻译应用程序的用户。

根据 ESET 的最新研究，所谓的 Evasive Panda 黑客团队于 2023 年 XNUMX 月或更早开始发起网络行动，影响了印度、台湾、澳大利亚、美国和香港的系统。

作为该活动的一部分，攻击者破坏了一家印度弘扬藏传佛教组织的网站；一家提供藏文翻译的开发公司；以及新闻网站西藏邮报，该网站随后在不知情的情况下托管了恶意程序。来自全球特定地区的网站访问者感染了植入程序和后门，包括该组织首选的 MgBot 以及相对较新的后门程序 Nightdoor。

总体而言，该组织在此次活动中执行了令人印象深刻的各种攻击媒介：通过软件更新、利用开发服务器进行中间对手 (AitM) 攻击；水坑；发现这次攻击的 ESET 研究员 Anh Ho 表示。

“他们在同一活动中策划了供应链和水坑攻击，这一事实展示了他们拥有的资源，”他说。 “Nightdoor 相当复杂，这在技术上很重要，但在我看来，Evasive Panda 的[最重要]属性是它们能够执行的攻击向量的多样性。”

Evasive Panda 是一个相对较小的团队，通常专注于监视亚洲和非洲的个人和组织。该组织与 2023 年针对电信公司的攻击有关，被称为 SentinelOne 的“被污染的爱情”行动，并与归因组 Granite Typhoon 相关联， née Gallium，根据微软。 它也被称为 赛门铁克 Daggerfly，并且它似乎与众所周知的网络犯罪和间谍组织有重叠 Google Mandiant 为 APT41.

水坑和供应链妥协

该组织自 2012 年以来一直活跃，因供应链攻击以及使用窃取的代码签名凭证和应用程序更新来攻击供应链而闻名。 感染系统 2023 年中国和非洲的用户数量。

据 ESET 称，在 ESET 标记的最新活动中，该组织破坏了一个藏传佛教祈愿节网站，以提供后门或下载工具，并将有效负载植入一个受感染的西藏新闻网站上。 ESET 发布的分析.

该组织还通过利用特洛伊木马应用程序感染藏文翻译软件开发商来感染 Windows 和 Mac OS 系统，从而瞄准用户。

“目前，不可能确切知道他们想要什么信息，但当后门（Nightdoor 或 MgBot）部署后，受害者的机器就像一本打开的书，”Ho 说。 “攻击者可以访问他们想要的任何信息。”

Evasive Panda 针对中国境内的个人进行监视，包括居住在中国大陆、香港和澳门的人。该组织还损害了中国、澳门以及东南亚和东亚国家的政府机构。

ESET 在分析中表示，在最新的攻击中，佐治亚理工学院是在美国遭受攻击的组织之一。

网络间谍关系

Evasive Panda 开发了自己的自定义恶意软件框架 MgBot，该框架实现了模块化架构，并且能够下载附加组件、执行代码和窃取数据。除其他功能外，MgBot 模块还可以监视受感染的受害者并下载其他功能。

2020年，躲避熊猫 印度和香港的目标用户 根据 Malwarebytes 的说法，该组织使用 MgBot 下载器来传递最终的有效负载，该组织将该组织与 2014 年和 2018 年的攻击联系起来。

Nightdoor 是该组织于 2020 年推出的后门，它与命令和控制服务器通信以发出命令、上传数据并创建反向 shell。

ESET 的 Ho 在该公司发布的分析中表示，这一系列工具（包括 Evasive Panda 专用的 MgBot 和 Nightdoor）直接指向与中国有关的网络间谍组织。

分析指出：“ESET 根据所使用的恶意软件 MgBot 和 Nightdoor，将此次活动归因于 Evasive Panda APT 组织。” “在过去的两年里，我们看到两个后门一起部署在针对台湾一个宗教组织的一次无关的攻击中，其中它们还共享相同的命令[和]控制服务器。”

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-cyber-spies-blend-watering-hole-supply-chain-attacks