Цілеспрямована кібератака, пов’язана з китайською групою загроз, заразила відвідувачів веб-сайту фестивалю буддизму та користувачів програми перекладу тибетською мовою.

Згідно з новим дослідженням ESET, кампанія кібероперацій так званої хакерської команди Evasive Panda почалася у вересні 2023 року або раніше та вплинула на системи в Індії, Тайвані, Австралії, Сполучених Штатах і Гонконгу.

У рамках кампанії зловмисники скомпрометували веб-сайти індійської організації, яка пропагує тибетський буддизм; компанія-розробник, яка виробляє переклад тибетською мовою; і веб-сайт новин Tibetpost, який потім несвідомо розміщував шкідливі програми. Відвідувачі сайтів із певних географічних регіонів світу були заражені дропперами та бекдорами, включно з улюбленим групою MgBot, а також відносно новою бекдор-програмою Nightdoor.

Загалом у кампанії група застосувала вражаючу різноманітність векторів атак: атаку противника посередині (AitM) через оновлення програмного забезпечення, використовуючи сервер розробки; водопій; і фішингові електронні листи, каже дослідник ESET Ан Хо, який виявив атаку.

«Той факт, що вони організовують як ланцюжок поставок, так і атаку на водопою в рамках однієї кампанії, демонструє ресурси, які вони мають», — говорить він. «Nightdoor досить складний, що технічно важливо, але, на мій погляд, [найважливішим] атрибутом Evasive Panda є різноманітність векторів атак, які вони змогли виконати».

Evasive Panda — це відносно невелика команда, яка зазвичай зосереджена на стеженні за особами та організаціями в Азії та Африці. Групу пов’язують з атаками на телекомунікаційні фірми у 2023 році, дубл Operation Tainted Love від SentinelOneі пов’язаний із групою атрибуції Granite Typhoon, уроджена Галій, за Microsoft. Він також відомий як Daggerfly від Symantec, і, здається, збігається з кіберзлочинною та шпигунською групою, відомою Google Mandiant як APT41.

Водяні ями та компроміси в ланцюзі поставок

Група, яка діє з 2012 року, добре відома атаками на ланцюги поставок і використанням викрадених облікових даних для підписання коду та оновлень програм для заражати системи користувачів у Китаї та Африці у 2023 році.

У цій останній кампанії, позначеній ESET, група скомпрометувала веб-сайт тибетського буддистського фестивалю Монлам, щоб обслуговувати бекдор або інструмент завантаження, і розмістила корисні дані на скомпрометованому тибетському новинному сайті, відповідно до Опублікований аналіз ESET.

Група також націлювалася на користувачів, скомпрометувавши розробника тибетського програмного забезпечення для перекладу троянськими програмами для зараження систем Windows і Mac OS.

«На даний момент неможливо точно знати, яку інформацію вони шукають, але коли бекдори — Nightdoor або MgBot — розгортаються, машина жертви виглядає як відкрита книга», — каже Хо. «Зловмисник може отримати доступ до будь-якої інформації».

Evasive Panda веде стеження за людьми в Китаї, включно з людьми, які живуть у материковому Китаї, Гонконгу та Макао. Група також скомпрометувала урядові установи в Китаї, Макао та країнах Південно-Східної та Східної Азії.

Під час останньої атаки Технологічний інститут Джорджії був серед атакованих організацій у Сполучених Штатах, повідомляє ESET у своєму аналізі.

Зв'язки з кібершпигунством

Evasive Panda розробила власну структуру зловмисного програмного забезпечення, MgBot, яка реалізує модульну архітектуру та має можливість завантажувати додаткові компоненти, виконувати код і викрадати дані. Серед інших функцій модулі MgBot можуть шпигувати за скомпрометованими жертвами та завантажувати додаткові можливості.

У 2020 році Evasive Panda націлені на користувачів в Індії та Гонконгу За даними Malwarebytes, які пов’язали групу з попередніми атаками в 2014 і 2018 роках, використання завантажувача MgBot для доставки кінцевих корисних навантажень.

Nightdoor, бекдор, який група представила в 2020 році, зв’язується з командно-контрольним сервером для видачі команд, завантаження даних і створення зворотної оболонки.

Колекція інструментів, включаючи MgBot, який використовується виключно Evasive Panda, і Nightdoor, прямо вказує на пов’язану з Китаєм групу кібершпигунства, заявив Хо з ESET в опублікованому аналізі фірми.

«ESET приписує цю кампанію групі Evasive Panda APT на основі шкідливих програм, які використовувалися: MgBot і Nightdoor», — йдеться в аналізі. «Протягом останніх двох років ми бачили, як обидва бекдори розгорталися разом у непов’язаній атаці проти релігійної організації на Тайвані, в якій вони також мали один і той же командний [і] контрольний сервер».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/cyberattacks-data-breaches/china-linked-cyber-spies-blend-watering-hole-supply-chain-attacks