Le groupe APT Evasive Panda a piraté les canaux de mise à jour d'applications chinoises légitimes, puis a spécifiquement espionné les membres d'une ONG - organisation non gouvernementale. Selon ESET, la porte dérobée MgBot est entrée dans le réseau via une mise à jour automatique.
Des chercheurs du fabricant de sécurité informatique ESET ont découvert une nouvelle campagne sophistiquée du groupe APT (Advanced Persistent Threat) Evasive Panda. Cela a piraté les canaux de mise à jour des applications chinoises légitimes pour distribuer le programme d'installation du logiciel malveillant MgBot. Les utilisateurs chinois étaient au centre de cette activité qui, selon la télémétrie ESET, a commencé dès 2020. Les utilisateurs concernés se trouvaient dans les provinces de Gansu, Guangdong et Jiangsu et étaient membres d'une organisation non gouvernementale (ONG) internationale.
Porte dérobée connue sous le nom de MgBot depuis 2014
« Evasive Panda utilise une porte dérobée appelée MgBot qui a connu peu de développement depuis sa découverte en 2014. À notre connaissance, ce programme malveillant n'a jusqu'à présent été utilisé par aucun autre groupe. Par conséquent, nous pouvons attribuer cette activité à Evasive Panda avec une grande certitude », déclare Facundo Muñoz, chercheur chez ESET, qui a repéré la récente campagne. "Au cours de notre enquête, nous avons constaté que l'exécution de mises à jour automatiques de logiciels légitimes téléchargeait également des installateurs de porte dérobée MgBot à partir d'URL et d'adresses IP propres."
Grâce à son architecture modulaire, MgBot peut étendre ses fonctionnalités une fois le code malveillant installé sur l'ordinateur compromis. Les capacités de la porte dérobée incluent l'enregistrement des frappes au clavier, le vol de fichiers, les identifiants de connexion et le contenu des applications de messagerie Tencent QQ et WeChat, ainsi que l'enregistrement des flux audio et du texte copié dans le presse-papiers.
La chaîne d'attaque n'est pas encore tout à fait claire
La façon dont les attaquants ont réussi à injecter des logiciels malveillants via des mises à jour légitimes n'est pas certaine à XNUMX %. Les chercheurs d'ESET soupçonnent avec une forte probabilité soit une compromission de la chaîne d'approvisionnement, soit des attaques dites AitM (adversary-in-the-middle).
"En raison de la nature ciblée des attaques, nous supposons que les pirates ont compromis les serveurs de mise à jour QQ. C'était la seule façon de mettre en œuvre un mécanisme permettant d'identifier spécifiquement les utilisateurs et de diffuser les logiciels malveillants. En effet, nous avons enregistré des cas où des mises à jour légitimes ont été téléchargées via les mêmes protocoles abusés », explique Muñoz. "D'un autre côté, les approches AitM de l'interception seraient possibles. Cependant, cela suppose que les attaquants ont manipulé des appareils vulnérables tels que des routeurs ou des passerelles et ont eu accès à l'infrastructure du FAI.
A propos du groupe APT Evasive Panda
Evasive Panda (alias BRONZE HIGHLAND et Daggerfly) est un groupe APT de langue chinoise actif depuis au moins 2012. Il mène un vaste cyberespionnage contre des individus en Chine continentale, à Hong Kong, à Macao et au Nigeria. L'une des victimes de la campagne actuelle s'est avérée être au Nigeria et a été compromise via le logiciel chinois Mail Master de NetEase.
Plus sur ESET.com
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.