Il gruppo APT Evasive Panda ha violato i canali di aggiornamento di app cinesi legittime e poi ha spiato specificamente i membri di una ONG, un'organizzazione non governativa. Secondo ESET, la backdoor MgBot è entrata nella rete tramite aggiornamento automatico.
I ricercatori del produttore di sicurezza IT ESET hanno scoperto una nuova sofisticata campagna del gruppo APT (Advanced Persistent Threat) Evasive Panda. Ciò ha violato i canali di aggiornamento delle app cinesi legittime per distribuire il programma di installazione del malware MgBot. Gli utenti cinesi sono stati il fulcro di questa attività, che secondo la telemetria ESET è iniziata già nel 2020. Gli utenti interessati si trovavano nelle province di Gansu, Guangdong e Jiangsu ed erano membri di un'organizzazione internazionale non governativa (ONG).
Backdoor chiamata MgBot conosciuta dal 2014
“Evasive Panda utilizza una backdoor chiamata MgBot che ha visto poco sviluppo da quando è stata scoperta nel 2014. Per quanto ne sappiamo, questo programma dannoso non è stato finora utilizzato da nessun altro gruppo. Pertanto, possiamo attribuire questa attività a Evasive Panda con grande certezza", afferma il ricercatore ESET Facundo Muñoz, che ha individuato la recente campagna. "Durante la nostra indagine, abbiamo scoperto che l'esecuzione di aggiornamenti automatici di software legittimo scaricava anche programmi di installazione backdoor MgBot da URL e indirizzi IP puliti."
Grazie alla sua architettura modulare, MgBot può espandere le sue funzionalità una volta installato il codice dannoso sul computer compromesso. Le funzionalità della backdoor includono la registrazione di sequenze di tasti, il furto di file, credenziali di accesso e contenuti dalle app di messaggistica Tencent QQ e WeChat, nonché la registrazione di flussi audio e testo copiati negli appunti.
Catena d'attacco non ancora del tutto chiara
Il modo in cui gli aggressori sono riusciti a iniettare malware tramite aggiornamenti legittimi non è certo al XNUMX%. I ricercatori ESET sospettano con alta probabilità una compromissione della catena di fornitura o i cosiddetti attacchi AitM (adversary-in-the-middle).
"A causa della natura mirata degli attacchi, presumiamo che gli hacker abbiano compromesso i server di aggiornamento QQ. Questo era l'unico modo in cui potevano implementare un meccanismo con cui gli utenti potevano essere identificati in modo specifico e il malware consegnato. In effetti, abbiamo registrato casi in cui aggiornamenti legittimi sono stati scaricati tramite gli stessi protocolli abusati", afferma Muñoz. “D'altra parte, gli approcci AitM alle intercettazioni sarebbero possibili. Tuttavia, ciò presuppone che gli aggressori abbiano manipolato dispositivi vulnerabili come router o gateway e abbiano avuto accesso all'infrastruttura dell'ISP.
Informazioni sul gruppo APT Evasive Panda
Evasive Panda (alias BRONZE HIGHLAND e Daggerfly) è un gruppo APT in lingua cinese attivo almeno dal 2012. Conduce un ampio spionaggio informatico contro individui nella Cina continentale, a Hong Kong, a Macao e in Nigeria. È stato dimostrato che una vittima dell'attuale campagna si trovava in Nigeria ed è stata compromessa tramite il software cinese Mail Master di NetEase.
Altro su ESET.com
Informazioni su ESET ESET è una società europea con sede a Bratislava (Slovacchia). Dal 1987, ESET sviluppa software di sicurezza pluripremiati che hanno già aiutato oltre 100 milioni di utenti a usufruire di tecnologie sicure. L'ampio portafoglio di prodotti per la sicurezza copre tutte le principali piattaforme e offre alle aziende e ai consumatori di tutto il mondo il perfetto equilibrio tra prestazioni e protezione proattiva. L'azienda ha una rete di vendita globale in oltre 180 paesi e uffici a Jena, San Diego, Singapore e Buenos Aires. Per maggiori informazioni visita www.eset.de o seguici su LinkedIn, Facebook e Twitter.