O grupo APT Evasive Panda invadiu canais de atualização de aplicativos chineses legítimos e depois espionou especificamente membros de uma ONG - organização não governamental. De acordo com a ESET, o backdoor do MgBot entrou na rede por meio de atualização automática.
Pesquisadores do fabricante de segurança de TI ESET descobriram uma nova campanha sofisticada do grupo APT (Advanced Persistent Threat) Evasive Panda. Isso invadiu os canais de atualização de aplicativos chineses legítimos para distribuir o instalador de malware MgBot. Os usuários chineses foram o foco desta atividade, que segundo a telemetria da ESET começou já em 2020. Os usuários afetados estavam localizados nas províncias de Gansu, Guangdong e Jiangsu e eram membros de uma organização não governamental (ONG) internacional.
Backdoor conhecido como MgBot desde 2014
“O Evasive Panda usa um backdoor chamado MgBot que teve pouco desenvolvimento desde que foi descoberto em 2014. Tanto quanto sabemos, este programa malicioso não foi usado por nenhum outro grupo até agora. Portanto, podemos atribuir essa atividade ao Evasive Panda com grande certeza”, diz o pesquisador da ESET Facundo Muñoz, que viu a recente campanha. “Durante nossa investigação, descobrimos que a execução de atualizações automáticas de software legítimo também baixava os instaladores de backdoor do MgBot de URLs e endereços IP limpos”.
Devido à sua arquitetura modular, o MgBot pode expandir sua funcionalidade assim que o código malicioso for instalado no computador comprometido. Os recursos do backdoor incluem gravação de teclas digitadas, roubo de arquivos, credenciais de login e conteúdo dos aplicativos de mensagens Tencent QQ e WeChat, além de gravação de fluxos de áudio e texto copiado para a área de transferência.
Cadeia de ataque ainda não muito clara
Como os invasores conseguiram injetar malware por meio de atualizações legítimas não é XNUMX% certo. Os pesquisadores da ESET suspeitam com alta probabilidade de um comprometimento da cadeia de suprimentos ou dos chamados ataques AitM (adversário no meio).
"Devido à natureza direcionada dos ataques, assumimos que os hackers comprometeram os servidores de atualização do QQ. Essa era a única maneira de implementar um mecanismo com o qual os usuários pudessem ser especificamente identificados e o malware distribuído. De fato, registramos casos em que atualizações legítimas foram baixadas por meio dos mesmos protocolos abusados”, diz Muñoz. “Por outro lado, abordagens AitM para interceptação seriam possíveis. No entanto, isso pressupõe que os invasores manipularam dispositivos vulneráveis, como roteadores ou gateways, e tiveram acesso à infraestrutura do ISP”.
Sobre o grupo APT Evasive Panda
Evasive Panda (também conhecido como BRONZE HIGHLAND e Daggerfly) é um grupo APT de língua chinesa ativo desde pelo menos 2012. Realiza extensa ciberespionagem contra indivíduos na China continental, Hong Kong, Macau e Nigéria. Foi comprovado que uma vítima da campanha atual estava na Nigéria e foi comprometida por meio do software chinês Mail Master da NetEase.
Mais em ESET.com
Sobre ESET A ESET é uma empresa europeia com sede em Bratislava (Eslováquia). Desde 1987, a ESET vem desenvolvendo software de segurança premiado que já ajudou mais de 100 milhões de usuários a desfrutar de tecnologias seguras. O amplo portfólio de produtos de segurança abrange todas as principais plataformas e oferece a empresas e consumidores em todo o mundo o equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas em mais de 180 países e escritórios em Jena, San Diego, Cingapura e Buenos Aires. Para mais informações, visite www.eset.de ou siga-nos no LinkedIn, Facebook e Twitter.