Китайската хакерска група, проследена като „Evasive Panda“, е забелязана да използва нови версии на задната врата Macma и зловредния софтуер Nightdoor Windows.
Екипът за лов на заплахи на Symantec е забелязал кибершпионски атаки, насочени към организации в Тайван и американска неправителствена организация в Китай.
В последния случай Evasive Panda (известна още като „Daggerfly“ или „Bronze Highland“) е използвала недостатък в Apache HTTP сървър, за да предостави нова версия на подписаната от нея модулна рамка за зловреден софтуер – MgBot, което показва непрекъснати усилия за обновяване на инструментите и избягване на откриването.
Смята се, че Evasive Panda е активна поне от 2012 г., като провежда както вътрешни, така и международни шпионски операции.
Съвсем наскоро ESET засече странна дейност, при която кибершпионската група използва софтуерни актуализации на Tencent QQ, за да зарази членове на неправителствени организации в Китай със зловреден софтуер MgBot.
Пробивите са постигнати чрез атака по веригата на доставки или атака „противник по средата“ (AITM), като несигурността около точния използван метод на атака подчертава сложността на субекта на заплахата.
Macma е модулен зловреден софтуер за macOS, документиран за първи път от TAG на Google през 2021 г., но никога не е приписван на конкретна група за заплахи.
Symantec казва, че последните варианти на Macma показват продължаващо развитие, при което създателите му надграждат съществуващата функционалност.
Последните варианти, наблюдавани при подозрителните атаки на Evasive Panda, съдържат следните допълнения/усъвършенства:
Първата индикация за връзка между Macma и Evasive Panda е, че два от най-новите варианти се свързват с IP адрес за командване и контрол (C2), използван и от MgBot dropper.
Най-важното е, че Macma и други зловредни програми от инструментариума на същата група съдържат код от една обща библиотека или рамка, която осигурява примитиви за заплахи и синхронизация, уведомления за събития и таймери, маршализиране на данни и платформено независими абстракции.
Evasive Panda е използвала тази библиотека за създаване на зловреден софтуер за Windows, macOS, Linux и Android. Тъй като тя не е налична в никакви публични хранилища, Symantec смята, че това е потребителска рамка, използвана изключително от групата за заплахи.
Друг зловреден софтуер, който използва същата библиотека, е Nightdoor (известен още като „NetMM“) – задна врата за Windows, която ESET приписа на Evasive Panda преди няколко месеца.
При атаките, които Symantec проследи, Nightdoor беше конфигуриран да се свързва с OneDrive и да извлича легитимно приложение DAEMON Tools Lite Helper (‘MeitUD.exe’) и DLL файл (‘Engine.dll’), който създава планирани задачи за постоянство и зарежда крайния полезен товар в паметта.
Nightdoor използва анти-VM код от проекта ‘al-khaser’ и ‘cmd.exe’, за да взаимодейства с C2 чрез отворени канали.
Той поддържа изпълнението на команди за профилиране на мрежата и системата, като например ‘ipconfig’, ‘systeminfo’, ‘tasklist’ и ‘netstat’.
В допълнение към инструментите за зловреден софтуер, използвани от Evasive Panda в атаките, Symantec е видяла, че заплахите използват и троянски APK файлове за Android, инструменти за прихващане на SMS и DNS заявки, както и зловреден софтуер, създаден да се насочва към неясни системи с операционна система Solaris.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
