Çin Panda APT, Windows ve MacOS Ziyaretçilerine Kötü Amaçlı Yazılım Bulaştırmak İçin Web Sitelerini Hackliyor


BRONZE HIGHLAND adlı Kaçamak Panda ve en az 2012'den beri faaliyet gösteren, Çince konuşan bir APT grubu olan Daggerfly'ın, Çin anakarası, Hong Kong, Makao ve Nijerya'daki bireyleri hedef alan siber casusluk gerçekleştirdiği tespit edildi.

Güneydoğu ve Doğu Asya hükümetleri, özellikle Çin, Makao, Myanmar, Filipinler, Tayvan ve Vietnam'dakiler saldırıların hedefi oldu. Hedefler arasında diğer Çinli ve Hong Konglu gruplar da vardı.

Evasive Panda, 2020'den bu yana yasal yazılımlardan güncellemeler alarak arka kapılarını yaymak için ortadaki rakip saldırılarını kullanabiliyor.

ESET araştırmacıları Cyber ​​Security News ile şunları paylaştı: “Grup, MgBot olarak bilinen arka kapısının kurbanlarını gözetlemek ve yeteneklerini geliştirmek için modüller almasına olanak tanıyan modüler bir mimariye sahip kendi özel kötü amaçlı yazılım çerçevesini kullanıyor.”

Belge

Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN'u şirketinize entegre edin

Kötü amaçlı yazılım analizi hızlı ve basit olabilir. Size şu yolu göstermemize izin verin:

  • Kötü amaçlı yazılımlarla güvenli bir şekilde etkileşime geçin
  • Linux'ta ve tüm Windows işletim sistemi sürümlerinde sanal makine kurulumu
  • Bir takımda çalışın
  • Maksimum veriyle ayrıntılı raporlar alın
  • Tüm bu özellikleri şimdi sandbox'a tamamen ücretsiz erişimle test etmek istiyorsanız: ..

Siber Casusluk Kampanyasının Özellikleri

Eylül 2023'ten bu yana Tibetliler, ortaya çıkarılan bir siber casusluk kampanyasının kurbanı oldu.

Tibet dilini tercüme eden truva atı haline getirilmiş yazılım yükleyicilerini dağıtmak için bir tedarik zinciri uzlaşması ve aynı zamanda stratejik web uzlaşması olarak da bilinen hedeflenen bir su kaynağı kullandı.

Ele geçirilen web sitesi, Tibet Budizmini dünya çapında yayan Hintli bir kuruluş olan Kagyu International Monlam Trust'a ait.

Saldırıyla ilgili olayların zaman çizelgesi

Saldırganlar, web sitesi kullanıcılarına MgBot ve Nightdoor olarak bilinen bir arka kapı bulaştırmak için macOS ve Windows için kötü amaçlı indiriciler kullanmayı amaçlıyordu.

Evasive Panda tarafından özel olarak kullanılan MgBot, saldırganlara ele geçirilen makineler hakkında önemli miktarda bilgi sağlayabilir.

Nightdoor ilk olarak 2020'de keşfedildi; Google Drive API veya UDP, arka kapı ile C&C sunucusunun iletişim kurabilmesinin iki yoludur.

Saldırganlar ilk olarak web sitesine, olası kurbanın IP adresini ve bu adresin hedeflenen adreslerden birine uyup uymadığını kontrol eden bir komut dosyası yükledi.

Komut dosyası, saldırganın aracı indiricisinin olası kurbanın bilgisayarında şu anda çalışıp çalışmadığını belirlemek için bir HTTP isteği gönderir.

İmplant, daha önce saldırıya uğramış bir sistemdehandleCallback({“success”:true }) ile yanıt verir.

İmplantı kontrol eden JavaScript kodu

Ardından, kullanıcıyı sertifika adı verilen bir “düzeltme” indirmeye ikna eden sahte bir hata sayfası görüntüler (bu, işletim sistemine bağlı olarak Windows için.exe veya macOS için.pkg ile biter).

JavaScript tarafından oluşturulan sahte bir grafik

Kullanıcının işletim sistemine bağlı olarak, bir veriyi indiren bir komut dosyası, kullanıcı “Hemen Düzelt” düğmesini tıklattığında tetiklenir.

Araştırmacılar, saldırganların o dönemde Ocak ve Şubat 2024'te yapılması planlanan Monlam festivalinden faydalanarak, bir su birikintisine dönüşen web sitesini ziyaret eden kişilerin güvenliğini ihlal ettiğinden şüpheleniyor.

Saldırganlar, Doğu Asya'daki birden fazla ağı hedeflemek için kullanılan, grubun araç setine en son eklenen Nightdoor gibi bir dizi indirici, dropper ve arka kapı kullandı.

Perimeter81 kötü amaçlı yazılım korumasıyla Truva atları, fidye yazılımları, casus yazılımlar, rootkit'ler, solucanlar ve sıfır gün saldırıları dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Hepsi inanılmaz derecede zararlıdır ve ağınıza zarar verebilir.

Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.





Source link