Çinli bir tehdit grubuyla bağlantılı, hedefli bir siber saldırı, Budizm festivali web sitesini ziyaret edenlere ve Tibetçe çeviri uygulamasının kullanıcılarına bulaştı.
ESET'in yeni araştırmasına göre, Evasive Panda hack ekibinin gerçekleştirdiği siber operasyon kampanyası Eylül 2023'te veya daha önce başladı ve Hindistan, Tayvan, Avustralya, ABD ve Hong Kong'daki sistemleri etkiledi.
Kampanyanın bir parçası olarak saldırganlar, Tibet Budizmini destekleyen Hindistan merkezli bir örgütün web sitelerinin güvenliğini ihlal etti; Tibetçe çeviri üreten bir geliştirme şirketi; ve daha sonra bilmeden kötü amaçlı programlar barındıran haber sitesi Tibetpost. Belirli küresel coğrafyalardan siteleri ziyaret edenlere, grubun tercih ettiği MgBot'un yanı sıra nispeten yeni bir arka kapı programı olan Nightdoor da dahil olmak üzere, damlalıklar ve arka kapılar bulaştı.
Genel olarak grup, kampanyada etkileyici çeşitlilikte saldırı vektörleri gerçekleştirdi: bir yazılım güncellemesi yoluyla, bir geliştirme sunucusundan yararlanarak ortadaki düşman (AitM) saldırısı; bir sulama deliği; Saldırıyı keşfeden ESET araştırmacısı Anh Ho, kimlik avı e-postalarının olduğunu söylüyor.
“Aynı kampanya içinde hem tedarik zincirini hem de su kaynağı saldırısını düzenlemeleri, sahip oldukları kaynakları gösteriyor” diyor. “Nightdoor oldukça karmaşık ve bu da teknik açıdan önemli, ancak bana göre Kaçınma Panda'nın [most significant] Özellik, gerçekleştirebildikleri saldırı vektörlerinin çeşitliliğidir.”
Evasive Panda, genellikle Asya ve Afrika'daki bireylerin ve kuruluşların gözetimine odaklanan nispeten küçük bir ekiptir. Grubun 2023'te telekomünikasyon firmalarına yönelik saldırılarla bağlantısı bulunuyor. SentinelOne'dan Lekeli Aşk Operasyonuve Granite Typhoon atıf grubuyla ilişkili, kızlık soyadı Galyum, Microsoft'a göre. Aynı zamanda şu şekilde de bilinir: Symantec'ten Daggerflytarafından bilinen bir siber suçlu ve casusluk grubuyla örtüşüyor gibi görünüyor. APT41 olarak Google Mandiant.
Sulama Delikleri ve Tedarik Zinciri Uzlaşmaları
2012'den bu yana aktif olan grup, tedarik zinciri saldırıları ve çalıntı kod imzalama kimlik bilgilerini ve uygulama güncellemelerini kullanarak biliniyor. sistemlere bulaşmak 2023'te Çin ve Afrika'daki kullanıcıların oranı.
ESET tarafından işaretlenen bu son kampanyada grup, Tibet Budist Monlam festivali için bir arka kapı veya indirme aracı sunmak üzere bir web sitesinin güvenliğini ihlal etti ve güvenliği ihlal edilmiş bir Tibet haber sitesine veriler yerleştirdi. ESET'in yayınlanan analizi.
Grup ayrıca, hem Windows hem de Mac OS sistemlerine bulaşmak için Tibetçe çeviri yazılımı geliştiricisinin Trojanlı uygulamalarla güvenliğini tehlikeye atarak kullanıcıları hedef aldı.
Ho, “Bu noktada tam olarak hangi bilginin peşinde olduklarını bilmek imkansız, ancak arka kapılar – Nightdoor veya MgBot – devreye girdiğinde kurbanın makinesi açık bir kitap gibidir” diyor. “Saldırgan istediği bilgiye erişebilir.”
Kaçamak Panda, Çin ana karasında, Hong Kong'da ve Makao'da yaşayan insanlar da dahil olmak üzere, gözetim amacıyla Çin'deki bireyleri hedef aldı. Grup aynı zamanda Çin, Makao ve Güneydoğu ve Doğu Asya ülkelerindeki devlet kurumlarına da zarar verdi.
ESET analizinde, son saldırıda ABD'de saldırıya uğrayan kuruluşlar arasında Georgia Teknoloji Enstitüsü'nün de yer aldığı belirtildi.
Siber Casusluk Bağlantıları
Evasive Panda, modüler bir mimari uygulayan ve ek bileşenler indirme, kod yürütme ve veri çalma yeteneğine sahip olan kendi özel kötü amaçlı yazılım çerçevesi MgBot'u geliştirdi. Diğer özelliklerin yanı sıra, MgBot modülleri ele geçirilen kurbanları gözetleyebilir ve ek özellikler indirebilir.
2020'de Kaçınma Pandası Hindistan ve Hong Kong'daki hedeflenen kullanıcılar Grubu 2014 ve 2018'deki önceki saldırılarla ilişkilendiren Malwarebytes'e göre, nihai yükleri teslim etmek için MgBot indiricisini kullanıyor.
Grubun 2020'de tanıttığı bir arka kapı olan Nightdoor, komutlar vermek, veri yüklemek ve ters kabuk oluşturmak için bir komuta ve kontrol sunucusuyla iletişim kurar.
ESET'ten Ho, firmanın yayınlanan analizinde, Evasive Panda tarafından özel olarak kullanılan MgBot ve Nightdoor da dahil olmak üzere araç koleksiyonunun doğrudan Çin bağlantılı siber casusluk grubuna işaret ettiğini belirtti.
Analizde, “ESET, kullanılan kötü amaçlı yazılıma (MgBot ve Nightdoor) dayanarak bu kampanyayı Evasive Panda APT grubuyla ilişkilendiriyor” dedi. “Son iki yılda, Tayvan'daki dini bir organizasyona karşı aynı komutayı paylaşan ilgisiz bir saldırıda her iki arka kapının da birlikte konuşlandırıldığını gördük. [and] sunucuyu kontrol et.”