एपीटी समूह इवेसिव पांडा ने वैध चीनी ऐप्स के अपडेट चैनलों को हैक कर लिया और फिर विशेष रूप से एक एनजीओ - गैर-सरकारी संगठन के सदस्यों की जासूसी की। ESET के अनुसार, MgBot पिछले दरवाजे से स्वचालित अद्यतन के माध्यम से नेटवर्क में प्रवेश करता है।
आईटी सुरक्षा निर्माता ईएसईटी के शोधकर्ताओं ने एपीटी (एडवांस्ड पर्सिस्टेंट थ्रेट) समूह इवेसिव पांडा द्वारा एक नए परिष्कृत अभियान का पर्दाफाश किया है। इसने MgBot मैलवेयर इंस्टॉलर को वितरित करने के लिए वैध चीनी ऐप्स के अपडेट चैनलों को हैक कर लिया। इस गतिविधि का केंद्र बिंदु चीनी उपयोगकर्ता थे, जो ईएसईटी टेलीमेट्री के अनुसार 2020 की शुरुआत में शुरू हुआ था। प्रभावित उपयोगकर्ता गांसु, ग्वांगडोंग और जिआंगसू प्रांतों में स्थित थे और एक अंतरराष्ट्रीय गैर-सरकारी संगठन (एनजीओ) के सदस्य थे।
बैकडोर को 2014 से MgBot के नाम से जाना जाता है
"इवेसिव पांडा MgBot नामक एक पिछले दरवाजे का उपयोग करता है जिसने 2014 में खोजे जाने के बाद से बहुत कम विकास देखा है। जहाँ तक हम जानते हैं, इस दुर्भावनापूर्ण कार्यक्रम का उपयोग अब तक किसी अन्य समूह द्वारा नहीं किया गया है। इसलिए, हम इस गतिविधि का श्रेय बड़ी निश्चितता के साथ इवेसिव पांडा को दे सकते हैं," ईएसईटी के शोधकर्ता फेसुंडो मुनोज़ कहते हैं, जिन्होंने हाल के अभियान को देखा। "हमारी जांच के दौरान, हमने पाया कि वैध सॉफ़्टवेयर के स्वत: अद्यतन चलाने से भी MgBot बैकडोर इंस्टालर को स्वच्छ URL और IP पतों से डाउनलोड किया जाता है।"
अपने मॉड्यूलर आर्किटेक्चर के कारण, समझौता किए गए कंप्यूटर पर दुर्भावनापूर्ण कोड स्थापित होने के बाद MgBot अपनी कार्यक्षमता का विस्तार कर सकता है। पिछले दरवाजे की क्षमताओं में रिकॉर्डिंग कीस्ट्रोक्स, चोरी की फाइलें, लॉगिन प्रमाण-पत्र, और Tencent मैसेजिंग ऐप्स क्यूक्यू और वीचैट से सामग्री, साथ ही ऑडियो स्ट्रीम रिकॉर्ड करना और क्लिपबोर्ड पर कॉपी किए गए टेक्स्ट शामिल हैं।
हमले की शृंखला अभी साफ नहीं
कैसे हमलावर वैध अपडेट के माध्यम से मैलवेयर इंजेक्ट करने में कामयाब रहे, यह XNUMX% निश्चित नहीं है। ESET के शोधकर्ताओं को उच्च संभावना के साथ या तो आपूर्ति श्रृंखला या तथाकथित AitM हमलों (प्रतिकूल-इन-द-बीच) का संदेह है।
"हमलों की लक्षित प्रकृति के कारण, हम मानते हैं कि हैकर्स ने QQ अपडेट सर्वर से समझौता किया है। यह एकमात्र तरीका था जिससे वे एक तंत्र को लागू कर सकते थे जिसके साथ उपयोगकर्ताओं को विशेष रूप से पहचाना जा सकता था और मैलवेयर वितरित किया जा सकता था। वास्तव में, हमने ऐसे मामले दर्ज किए हैं जहां समान दुरुपयोग वाले प्रोटोकॉल के माध्यम से वैध अपडेट डाउनलोड किए गए थे," मुनोज़ कहते हैं। "दूसरी ओर, एआईटीएम इंटरसेप्शन के लिए दृष्टिकोण संभव होगा। हालांकि, यह माना जाता है कि हमलावरों ने राउटर या गेटवे जैसे कमजोर उपकरणों में हेरफेर किया और आईएसपी बुनियादी ढांचे तक उनकी पहुंच थी।
एपीटी समूह इवेसिव पांडा के बारे में
इवेसिव पांडा (उर्फ ब्रोंज हाईलैंड और डैगरफ्लाई) एक चीनी भाषा का एपीटी समूह है जो कम से कम 2012 से सक्रिय है। यह मुख्य भूमि चीन, हांगकांग, मकाऊ और नाइजीरिया में व्यक्तियों के खिलाफ व्यापक साइबर जासूसी करता है। वर्तमान अभियान का एक शिकार नाइजीरिया में साबित हुआ था और NetEase के चीनी सॉफ्टवेयर मेल मास्टर के माध्यम से समझौता किया गया था।
ESET.com पर अधिक
ईएसईटी के बारे में ESET एक यूरोपीय कंपनी है जिसका मुख्यालय ब्रातिस्लावा (स्लोवाकिया) में है। 1987 से, ईएसईटी पुरस्कार विजेता सुरक्षा सॉफ्टवेयर विकसित कर रहा है जिसने पहले ही 100 मिलियन से अधिक उपयोगकर्ताओं को सुरक्षित तकनीकों का आनंद लेने में मदद की है। सुरक्षा उत्पादों के व्यापक पोर्टफोलियो में सभी प्रमुख प्लेटफॉर्म शामिल हैं और दुनिया भर में व्यवसायों और उपभोक्ताओं को प्रदर्शन और सक्रिय सुरक्षा के बीच सही संतुलन प्रदान करता है। जेना, सैन डिएगो, सिंगापुर और ब्यूनस आयर्स में 180 से अधिक देशों और कार्यालयों में कंपनी का वैश्विक बिक्री नेटवर्क है। अधिक जानकारी के लिए www.eset.de पर जाएं या हमें LinkedIn, Facebook और Twitter पर फ़ॉलो करें।