APT grubu Evasive Panda, meşru Çin uygulamalarının güncelleme kanallarını hackledi ve ardından özellikle bir sivil toplum kuruluşu olan bir STK'nın üyelerini gözetledi. ESET'e göre, MgBot arka kapısı ağa otomatik güncelleme yoluyla girdi.
BT güvenlik üreticisi ESET'teki araştırmacılar, APT (Gelişmiş Kalıcı Tehdit) grubu Evasive Panda'nın yeni ve sofistike bir kampanyasını ortaya çıkardı. Bu, MgBot kötü amaçlı yazılım yükleyicisini dağıtmak için meşru Çin uygulamalarının güncelleme kanallarını hackledi. ESET telemetrisine göre 2020 gibi erken bir tarihte başlayan bu etkinliğin odak noktası Çinli kullanıcılardı. Etkilenen kullanıcılar Gansu, Guangdong ve Jiangsu eyaletlerinde bulunuyordu ve uluslararası bir sivil toplum örgütünün (STK) üyeleriydi.
2014'ten beri bilinen MgBot adlı arka kapı
"Evasive Panda, keşfedildiği 2014 yılından bu yana çok az gelişme gösteren MgBot adlı bir arka kapı kullanıyor. Bildiğimiz kadarıyla bu kötü amaçlı program şu ana kadar başka bir grup tarafından kullanılmadı. Bu nedenle, bu etkinliği büyük bir kesinlikle Evasive Panda'ya atfedebiliriz," diyor son kampanyayı fark eden ESET araştırmacısı Facundo Muñoz. "Araştırmamız sırasında, yasal yazılımların otomatik güncellemelerinin çalıştırılmasının, temiz URL'lerden ve IP adreslerinden MgBot arka kapı yükleyicilerini de indirdiğini bulduk."
Modüler mimarisi sayesinde MgBot, güvenliği ihlal edilmiş bilgisayara kötü amaçlı kod yüklendikten sonra işlevselliğini genişletebilir. Arka kapının yetenekleri arasında tuş vuruşlarını kaydetme, dosyaları, oturum açma kimlik bilgilerini ve Tencent mesajlaşma uygulamaları QQ ve WeChat'ten içerik çalmanın yanı sıra ses akışlarını ve panoya kopyalanan metinleri kaydetme yer alır.
Saldırı zinciri henüz tam olarak net değil
Saldırganların yasal güncellemeler yoluyla kötü amaçlı yazılımları nasıl enjekte etmeyi başardıkları %XNUMX kesin değil. ESET araştırmacıları, tedarik zincirinin tehlikeye girmesinden veya sözde AitM saldırılarından (ortadaki düşman) yüksek olasılıkla şüpheleniyorlar.
"Saldırıların hedefli doğası gereği, bilgisayar korsanlarının QQ güncelleme sunucularını ele geçirdiğini varsayıyoruz. Bu, kullanıcıların özel olarak tanımlanabileceği ve kötü amaçlı yazılımın dağıtılabileceği bir mekanizmayı uygulayabilmelerinin tek yoluydu. Gerçekten de, kötüye kullanılan aynı protokoller aracılığıyla meşru güncellemelerin indirildiği vakalar kaydettik" diyor Muñoz. “Öte yandan, AitM'nin araya girme yaklaşımları mümkün olacaktır. Ancak bu, saldırganların yönlendiriciler veya ağ geçitleri gibi savunmasız cihazları manipüle ettiğini ve ISP altyapısına erişimi olduğunu varsayar.”
APT grubu Evasive Panda hakkında
Evasive Panda (namı diğer BRONZE HIGHLAND ve Daggerfly), en az 2012'den beri aktif olan Çince bir APT grubudur. Anakara Çin, Hong Kong, Makao ve Nijerya'daki bireylere karşı kapsamlı siber casusluk yürütür. Mevcut kampanyanın bir kurbanının Nijerya'da olduğu kanıtlandı ve NetEase'in Çince yazılımı Mail Master aracılığıyla ele geçirildi.
Daha fazlası ESET.com'da
ESET Hakkında ESET, merkezi Bratislava'da (Slovakya) bulunan bir Avrupa şirketidir. 1987'den beri ESET, 100 milyondan fazla kullanıcının güvenli teknolojilerden yararlanmasına yardımcı olan ödüllü güvenlik yazılımı geliştirmektedir. Geniş güvenlik ürünleri portföyü, tüm büyük platformları kapsar ve dünya çapındaki işletmelere ve tüketicilere performans ile proaktif koruma arasında mükemmel bir denge sunar. Şirketin 180'den fazla ülkede küresel bir satış ağı ve Jena, San Diego, Singapur ve Buenos Aires'te ofisleri bulunmaktadır. Daha fazla bilgi için www.eset.de adresini ziyaret edin veya bizi LinkedIn, Facebook ve Twitter'da takip edin.