Китайската хакерска група, проследена като „Evasive Panda“, е забелязана да използва нови версии на задната врата Macma и зловредния софтуер Nightdoor Windows.
Екипът за лов на заплахи на Symantec е забелязал кибершпионски атаки, насочени към организации в Тайван и американска неправителствена организация в Китай.
В последния случай Evasive Panda (известна още като „Daggerfly“ или „Bronze Highland“) е използвала недостатък в Apache HTTP сървър, за да предостави нова версия на подписаната от нея модулна рамка за зловреден софтуер – MgBot, което показва непрекъснати усилия за обновяване на инструментите и избягване на откриването.
Смята се, че Evasive Panda е активна поне от 2012 г., като провежда както вътрешни, така и международни шпионски операции.
Съвсем наскоро ESET засече странна дейност, при която кибершпионската група използва софтуерни актуализации на Tencent QQ, за да зарази членове на неправителствени организации в Китай със зловреден софтуер MgBot.
Пробивите са постигнати чрез атака по веригата на доставки или атака „противник по средата“ (AITM), като несигурността около точния използван метод на атака подчертава сложността на субекта на заплахата.
Macma, свързана с Evasive Panda
Macma е модулен зловреден софтуер за macOS, документиран за първи път от TAG на Google през 2021 г., но никога не е приписван на конкретна група за заплахи.
Symantec казва, че последните варианти на Macma показват продължаващо развитие, при което създателите му надграждат съществуващата функционалност.
Последните варианти, наблюдавани при подозрителните атаки на Evasive Panda, съдържат следните допълнения/усъвършенства:
- Нова логика за събиране на системния списък на даден файл, като новият код е базиран на Tree – публично достъпна програма за Linux/Unix.
- Модифициран код във функцията AudioRecorderHelper
- Допълнителна параметризация
- Допълнително регистриране на грешки
- Добавяне на нов файл (param2.ini) за задаване на опции за настройка на размера на екранната снимка и съотношението на страните
Първата индикация за връзка между Macma и Evasive Panda е, че два от най-новите варианти се свързват с IP адрес за командване и контрол (C2), използван и от MgBot dropper.
Най-важното е, че Macma и други зловредни програми от инструментариума на същата група съдържат код от една обща библиотека или рамка, която осигурява примитиви за заплахи и синхронизация, уведомления за събития и таймери, маршализиране на данни и платформено независими абстракции.
Evasive Panda е използвала тази библиотека за създаване на зловреден софтуер за Windows, macOS, Linux и Android. Тъй като тя не е налична в никакви публични хранилища, Symantec смята, че това е потребителска рамка, използвана изключително от групата за заплахи.
Други инструменти на Evasive Panda
Друг зловреден софтуер, който използва същата библиотека, е Nightdoor (известен още като „NetMM“) – задна врата за Windows, която ESET приписа на Evasive Panda преди няколко месеца.
При атаките, които Symantec проследи, Nightdoor беше конфигуриран да се свързва с OneDrive и да извлича легитимно приложение DAEMON Tools Lite Helper (‘MeitUD.exe’) и DLL файл (‘Engine.dll’), който създава планирани задачи за постоянство и зарежда крайния полезен товар в паметта.
Nightdoor използва анти-VM код от проекта ‘al-khaser’ и ‘cmd.exe’, за да взаимодейства с C2 чрез отворени канали.
Той поддържа изпълнението на команди за профилиране на мрежата и системата, като например ‘ipconfig’, ‘systeminfo’, ‘tasklist’ и ‘netstat’.
В допълнение към инструментите за зловреден софтуер, използвани от Evasive Panda в атаките, Symantec е видяла, че заплахите използват и троянски APK файлове за Android, инструменти за прихващане на SMS и DNS заявки, както и зловреден софтуер, създаден да се насочва към неясни системи с операционна система Solaris.
