Grupul de hackeri chinezi cunoscut sub numele de ‘Evasive Panda’ a fost observat folosind noi versiuni ale malware-ului Macma și al malware-ului Nightdoor pentru Windows.
Echipa de vânătoare de amenințări a Symantec a observat atacuri de spionaj cibernetic care vizează organizații din Taiwan și o organizație non-guvernamentală americană din China.
În ultimul caz, Evasive Panda (cunoscut și sub numele de ‘Daggerfly’ sau ‘Bronze Highland’) a exploatat o vulnerabilitate într-un server Apache HTTP pentru a livra o nouă versiune a framework-ului lor modular de malware, MgBot, indicând un efort continuu de a-și actualiza instrumentele și de a evita detectarea.
Se crede că Evasive Panda este activ cel puțin din 2012, desfășurând operațiuni de spionaj atât la nivel intern, cât și internațional.
Cel mai recent, ESET a descoperit o activitate ciudată în care grupul de spionaj cibernetic a folosit actualizările software Tencent QQ pentru a infecta membrii ONG-urilor din China cu malware-ul MgBot.
Breșelele au fost obținute printr-un atac de lanț de aprovizionare sau un atac adversar-in-the-middle (AITM), cu incertitudinea în jurul metodei exacte de atac utilizată evidențiind sofisticarea actorului amenințării.
Macma este un malware modular pentru macOS, documentat inițial de TAG-ul Google în 2021, dar niciodată atribuit unui grup de amenințări specific.
Symantec spune că variantele recente ale Macma arată dezvoltare continuă, creatorii săi construind pe funcționalitatea existentă.
Cele mai recente variante observate în atacurile suspectate ale Evasive Panda conțin următoarele adăugări / îmbunătățiri:
Prima indicație a unei legături între Macma și Evasive Panda este că două dintre cele mai recente variante se conectează la o adresă IP de comandă și control (C2) utilizată și de un distribuitor MgBot.
Cel mai important, Macma și alte malware-uri din trusa aceluiași grup conțin cod dintr-o singură bibliotecă sau framework comun, care oferă primitive de amenințare și sincronizare, notificări de evenimente și temporizatoare, îmbarcări de date și abstracții independente de platformă.
Evasive Panda a folosit această bibliotecă pentru a construi malware-uri pentru Windows, macOS, Linux și Android. Deoarece nu este disponibil în niciun repository public, Symantec crede că este un framework personalizat folosit exclusiv de grupul de amenințări.
Un alt malware care folosește aceeași bibliotecă este Nightdoor (cunoscut și sub numele de ‘NetMM’), un backdoor pentru Windows pe care ESET l-a atribuit Evasive Panda acum câteva luni.
În atacurile pe care Symantec le-a urmărit, Nightdoor a fost configurat pentru a se conecta la OneDrive și pentru a prelua o aplicație DAEMON Tools Lite Helper legitimă (‘MeitUD.exe’) și un fișier DLL (‘Engine.dll’) care creează sarcini programate pentru persistență și încarcă încărcătura finală în memorie.
Nightdoor folosește un cod anti-VM din proiectul ‘al-khaser’ și ‘cmd.exe’ pentru a interacționa cu C2 prin conducte deschise.
El suportă executarea comenzilor pentru profilarea rețelei și sistemului, cum ar fi ‘ipconfig’, ‘systeminfo’, ‘tasklist’ și ‘netstat’.
În plus față de instrumentele malware utilizate de Evasive Panda în atacuri, Symantec a observat, de asemenea, actori de amenințări care deployează APK-uri Android troianizate, instrumente de interceptare a cererilor SMS și DNS și malware construit pentru a viza sistemele obscure Solaris OS.
Hackerii chinezi au spart 20.000 de sisteme FortiGate la nivel mondial
Cisco avertizează cu privire la zero-day-ul NX-OS exploatat pentru a implementa malware personalizat
Hackerii folosesc malware-ul F5 BIG-IP pentru a fura date în mod furtiv timp de ani de zile
Hackerii UNC3886 folosesc rootkit-uri Linux pentru a se ascunde în mașini virtuale VMware ESXi
Grupurile de hackeri chinezi se unesc într-o campanie de spionaj cibernetic
Leave a Reply