APT グループ Evasive Panda は、合法的な中国のアプリの更新チャネルをハッキングし、NGO (非政府組織) のメンバーを特定してスパイ活動を行いました。 ESET によると、MgBot バックドアは自動更新を介してネットワークに侵入しました。
IT セキュリティ メーカーの ESET の研究者は、APT (Advanced Persistent Threat) グループ Evasive Panda による新しい巧妙なキャンペーンを発見しました。 これにより、中国の正規アプリの更新チャネルがハッキングされ、MgBot マルウェア インストーラーが配布されました。 中国のユーザーがこの活動の中心であり、ESET のテレメトリによると、この活動は 2020 年に始まりました。 影響を受けたユーザーは、甘粛省、広東省、江蘇省に居住し、国際的な非政府組織 (NGO) のメンバーでした。
2014 年から MgBot として知られるバックドア
「Evasive Panda は、MgBot と呼ばれるバックドアを使用しますが、2014 年に発見されて以来、ほとんど開発されていません。 私たちの知る限り、この悪意のあるプログラムは、これまで他のグループによって使用されたことはありません。 したがって、この活動は Evasive Panda によるものであると確信できます」と、最近のキャンペーンを発見した ESET の研究者である Facundo Muñoz 氏は述べています。 「調査中に、正当なソフトウェアの自動更新を実行すると、クリーンな URL と IP アドレスから MgBot バックドア インストーラーもダウンロードされることがわかりました。」
MgBot はそのモジュラー アーキテクチャにより、侵入先のコンピュータに悪意のあるコードがインストールされると、その機能を拡張できます。 バックドアの機能には、キーストロークの記録、ファイルの窃盗、ログイン認証情報、Tencent のメッセージング アプリ QQ および WeChat からのコンテンツの記録、クリップボードにコピーされたオーディオ ストリームとテキストの記録が含まれます。
攻撃の連鎖はまだはっきりしていない
攻撃者が正規のアップデートを介してどのようにマルウェアを注入したかは、XNUMX% 確実ではありません。 ESET の研究者は、サプライ チェーンの侵害またはいわゆる AitM 攻撃 (敵対者) のいずれかである可能性が高いと考えています。
「標的を絞った攻撃であるため、ハッカーが QQ 更新サーバーを侵害したと考えています。 これが、ユーザーを明確に識別してマルウェアを配信するメカニズムを実装できる唯一の方法でした。 実際、正規の更新プログラムが同じ悪用されたプロトコルを介してダウンロードされた事例を登録しています」と Muñoz 氏は言います。 「一方で、迎撃へのAitMアプローチは可能です。 ただし、これは、攻撃者がルーターやゲートウェイなどの脆弱なデバイスを操作し、ISP インフラストラクチャにアクセスしたことを前提としています。」
標的型攻撃グループ Evasive Panda について
Evasive Panda (別名 BRONZE HIGHLAND および Daggerfly) は、少なくとも 2012 年から活動している中国語の APT グループです。 中国本土、香港、マカオ、ナイジェリアの個人に対して大規模なサイバースパイ活動を行っています。 現在のキャンペーンの被害者の XNUMX 人はナイジェリアにいることが判明し、NetEase の中国製ソフトウェア Mail Master を介して侵害されました。
詳細はESET.comで
ESETについて ESET は、ブラチスラバ (スロバキア) に本社を置くヨーロッパの会社です。 1987 年以来、ESET は受賞歴のあるセキュリティ ソフトウェアを開発しており、すでに 100 億人を超えるユーザーが安全なテクノロジを利用できるように支援しています。 セキュリティ製品の幅広いポートフォリオは、すべての主要なプラットフォームをカバーし、世界中の企業と消費者にパフォーマンスとプロアクティブな保護の完璧なバランスを提供します。 同社は 180 を超える国にグローバルな販売ネットワークを持ち、イエナ、サンディエゴ、シンガポール、ブエノスアイレスにオフィスを構えています。 詳細については、www.eset.de にアクセスするか、LinkedIn、Facebook、Twitter でフォローしてください。