Група APT Evasive Panda зламала канали оновлення законних китайських додатків, а потім спеціально шпигувала за членами НУО - неурядової організації. За даними ESET, бекдор MgBot потрапив у мережу через автоматичне оновлення.
Дослідники виробника ІТ-безпеки ESET виявили нову складну кампанію групи APT (Advanced Persistent Threat) Evasive Panda. Це зламало канали оновлення законних китайських програм для розповсюдження інсталятора шкідливого програмного забезпечення MgBot. Китайські користувачі були в центрі уваги цієї діяльності, яка, згідно з даними телеметрії ESET, почалася ще в 2020 році. Постраждалі користувачі перебували в провінціях Ганьсу, Гуандун і Цзянсу і були членами міжнародної неурядової організації (НУО).
Бекдор, відомий як MgBot з 2014 року
«Evasive Panda використовує бекдор під назвою MgBot, який практично не розвивався з моменту відкриття в 2014 році. Наскільки нам відомо, ця шкідлива програма поки що не використовувалася жодною іншою групою. Тому ми можемо з великою впевненістю приписати цю діяльність Evasive Panda», — каже дослідник ESET Факундо Муньос, який помітив нещодавню кампанію. «Під час нашого розслідування ми виявили, що запуск автоматичних оновлень законного програмного забезпечення також завантажував бекдор-інсталятори MgBot із чистих URL-адрес та IP-адрес».
Завдяки своїй модульній архітектурі MgBot може розширити свою функціональність після встановлення шкідливого коду на скомпрометований комп’ютер. Можливості бекдору включають запис натискань клавіш, крадіжку файлів, облікові дані для входу та вміст із програм для обміну повідомленнями Tencent QQ і WeChat, а також запис аудіопотоків і тексту, скопійованого в буфер обміну.
Ланцюжок нападу ще не зовсім зрозумілий
Як зловмисникам вдалося впровадити зловмисне програмне забезпечення за допомогою законних оновлень, невідомо на XNUMX%. Дослідники ESET з високою ймовірністю підозрюють або компрометацію ланцюжка поставок, або так звані атаки AitM (adversary-in-the-middle).
«Через цілеспрямований характер атак ми припускаємо, що хакери скомпрометували сервери оновлень QQ. Це був єдиний спосіб запровадити механізм, за допомогою якого можна було б точно ідентифікувати користувачів і доставити зловмисне програмне забезпечення. Дійсно, ми зареєстрували випадки, коли законні оновлення завантажувалися через ті самі зловживані протоколи», — говорить Муньос. «З іншого боку, були б можливі підходи AitM для перехоплення. Однак це передбачає, що зловмисники маніпулювали такими вразливими пристроями, як маршрутизатори або шлюзи, і мали доступ до інфраструктури провайдера».
Про групу APT Evasive Panda
Evasive Panda (вона ж BRONZE HIGHLAND і Daggerfly) — це китайськомовна група APT, що працює щонайменше з 2012 року. Він проводить широке кібершпигунство проти осіб у материковому Китаї, Гонконгу, Макао та Нігерії. Було доведено, що одна жертва поточної кампанії перебувала в Нігерії та була скомпрометована через китайське програмне забезпечення NetEase Mail Master.
Більше на ESET.com
Про ESET ESET – європейська компанія зі штаб-квартирою в Братиславі (Словаччина). З 1987 року ESET розробляє відзначене нагородами програмне забезпечення безпеки, яке вже допомогло понад 100 мільйонам користувачів користуватися безпечними технологіями. Широке портфоліо продуктів безпеки охоплює всі основні платформи та пропонує компаніям і споживачам у всьому світі ідеальний баланс між продуктивністю та проактивним захистом. Компанія має глобальну мережу продажів у понад 180 країнах і офіси в Єні, Сан-Дієго, Сінгапурі та Буенос-Айресі. Для отримання додаткової інформації відвідайте www.eset.de або слідкуйте за нами в LinkedIn, Facebook і Twitter.