Kinijos įsilaužėlių grupė, sekama kaip „Evasive Panda“, buvo pastebėta naudojant naujas Macma Backdoor ir Nightdoor Windows kenkėjiškų programų versijas.
„Symantec“ grėsmių paieškos komanda pastebėjo kibernetinio šnipinėjimo atakas, nukreiptas prieš organizacijas Taivane ir Amerikos nevyriausybinę organizaciją Kinijoje.
Pastaruoju atveju „Evasive Panda“ (dar žinomas kaip „Daggerfly“ arba „Bronze Highland“) pasinaudojo „Apache“ HTTP serverio trūkumu, kad pristatytų naują savo parašo modulinės kenkėjiškų programų sistemos „MgBot“ versiją, o tai rodo nuolatines pastangas atnaujinti savo įrankius ir išvengti jų. aptikimas.
Manoma, kad „Evasive Panda“ veikė mažiausiai nuo 2012 m., vykdydama tiek vidaus, tiek tarptautines šnipinėjimo operacijas.
Visai neseniai ESET užfiksavo keistą veiklą, kai kibernetinio šnipinėjimo grupė naudojo Tencent QQ programinės įrangos naujinius, kad užkrėstų nevyriausybinių organizacijų narius Kinijoje MgBot kenkėjiška programa.
Pažeidimai buvo padaryti per tiekimo grandinę arba priešo viduryje (AITM) ataką, o netikrumas dėl tikslaus puolimo metodo išryškina grėsmės veikėjo sudėtingumą.
Macma susieta su Evasive Panda
„Macma“ yra modulinė kenkėjiška programa, skirta „MacOS“, pirmą kartą dokumentuota „Google“ TAG 2021 m., tačiau niekada nepriskirta konkrečiai grėsmių grupei.
„Symantec“ teigia, kad naujausi „Macma“ variantai nuolat tobulinami, kai kūrėjai remiasi esamomis funkcijomis.
Naujausiuose variantuose, pastebėtuose įtariamų Evasive Panda atakų metu, yra šie papildymai / patobulinimai:
- Nauja logika rinkti failų sistemos sąrašą, naudojant naują kodą, pagrįstą Tree, viešai prieinama Linux / Unix programa.
- Pakeistas kodas „AudioRecorderHelper“ funkcijoje
- Papildomas parametrizavimas
- Papildomas derinimo registravimas
- Pridėtas naujas failas (param2.ini), kad būtų galima nustatyti ekrano kopijos dydžio ir formato koeficiento parinktis
Pirmasis „Macma“ ir „Evasive Panda“ ryšio požymis yra tas, kad du iš naujausių variantų prisijungia prie komandų ir valdymo (C2) IP adreso, kurį taip pat naudoja MgBot lašintuvas.
Svarbiausia, kad „Macma“ ir kitos kenkėjiškos programos, esančios tos pačios grupės įrankių rinkinyje, turi kodą iš vienos bendros bibliotekos arba sistemos, kuri teikia grėsmių ir sinchronizavimo primityvus, pranešimus apie įvykius ir laikmačius, duomenų skirstymą ir nuo platformos nepriklausomas abstrakcijas.
„Evasive Panda“ naudojo šią biblioteką kurdama kenkėjiškas programas, skirtas „Windows“, „MacOS“, „Linux“ ir „Android“. Kadangi jo nėra jokiose viešose saugyklose, Symantec mano, kad tai yra tinkinta sistema, kurią naudoja tik grėsmių grupė.
Kiti Evasive Panda įrankiai
Kita kenkėjiška programa, kuri naudoja tą pačią biblioteką, yra Nightdoor (dar žinomas kaip „NetMM“), „Windows“ užpakalinės durys, kurias ESET prieš kelis mėnesius priskyrė „Evasive Panda“.
Per atakas, kurias stebėjo „Symantec“, „Nightdoor“ buvo sukonfigūruota prisijungti prie „OneDrive“ ir gauti teisėtą „DAEMON Tools Lite Helper“ programą („MeitUD.exe“) ir DLL failą („Engine.dll“), kuris sukuria suplanuotas užduotis, kad būtų išlaikytas ir įkeliamas galutinis. naudingoji apkrova atmintyje.
„Nightdoor“ naudoja anti-VM kodą iš „al-khaser“ projekto ir „cmd.exe“, kad sąveikautų su C2 per atvirus vamzdžius.
Jis palaiko tinklo ir sistemos profiliavimo komandų, pvz., „ipconfig“, „systeminfo“, „tasklist“ ir „netstat“, vykdymą.
Be kenkėjiškų programų įrankių, kuriuos „Evasive Panda“ naudoja atakose, „Symantec“ taip pat pastebėjo, kad grėsmių subjektai diegia trojanizuotus „Android“ APK, SMS ir DNS užklausų perėmimo įrankius ir kenkėjiškas programas, skirtas neaiškioms „Solaris“ OS sistemoms.