O grupo chinês de hackers identificado como 'Evasive Panda' foi flagrado utilizando novas versões do backdoor Macma e do malware Nightdoor para Windows.
A equipe de caça a ameaças da Symantec detectou os ataques de ciberespionagem direcionados a organizações em Taiwan e uma ONG americana na China.
No último caso, o Evasive Panda (também conhecido como 'Daggerfly' ou 'Bronze Highland') explorou uma falha em um servidor Apache HTTP para entregar uma nova versão da sua assinatura em framework de malware modular, MgBot, indicando um esforço contínuo em atualizar suas ferramentas e evitar detecção.
Acredita-se que o Evasive Panda esteja ativo desde pelo menos 2012, conduzindo operações de espionagem tanto domésticas quanto internacionais.
Mais recentemente, a ESET identificou uma atividade suspeita onde o grupo de ciberespionagem usou atualizações de software da Tencent QQ para infectar membros de ONGs na China com o malware MgBot.
As violações foram realizadas através de uma cadeia de suprimentos ou um ataque adversário no meio (AITM), com a incerteza sobre o método exato de ataque utilizado destacando a sofisticação do ator de ameaça.
Macma é um malware modular para macOS, primeiro documentado pela TAG do Google em 2021, mas nunca atribuído a um grupo de ameaça específico.
A Symantec diz que as variantes recentes do Macma mostram desenvolvimento contínuo, onde seus criadores constroem sobre a funcionalidade existente.
As últimas variantes vista em ataques suspeitos de Evasive Panda contêm as seguintes adições/melhorias:
- Nova lógica para coletar uma listagem do sistema de arquivos, com o novo código baseado em Tree, uma utilidade Linux/Unix disponível publicamente.
- Código modificado na funcionalidade AudioRecorderHelper
- Parametrização adicional
- Logging de depuração adicional
- Adição de um novo arquivo (param2.ini) para definir opções para ajustar tamanho e proporção da captura de tela.
A primeira indicação de uma ligação entre o Macma e o Evasive Panda é que duas das últimas variantes se conectam a um endereço IP de comando e controle (C2) também utilizado por uma payload MgBot.
Mais importante, o Macma e outros malwares no mesmo kit de ferramentas do grupo contêm código de uma única biblioteca ou framework compartilhado, que fornece primitivas de ameaça e sincronização, notificações de eventos e temporizadores, marshalização de dados e abstrações independentes de plataforma.
O Evasive Panda usou essa biblioteca para construir malware para Windows, macOS, Linux e Android.
Uma vez que não está disponível em nenhum repositório público, a Symantec acredita que seja um framework personalizado utilizado exclusivamente pelo grupo de ameaça.
Outro malware que usa a mesma biblioteca é o Nightdoor (também conhecido como 'NetMM'), um backdoor para Windows que a ESET atribuiu ao Evasive Panda alguns meses atrás.
Nos ataques rastreados pela Symantec, o Nightdoor foi configurado para conectar-se ao OneDrive e buscar um aplicativo legítimo DAEMON Tools Lite Helper ('MeitUD.exe') e um arquivo DLL ('Engine.dll') que cria tarefas agendadas para persistência e carrega o payload final na memória.
O Nightdoor utiliza código anti-VM do projeto 'al-khaser' e 'cmd.exe' para interagir com C2 via open pipes.
Ele suporta a execução de comandos para perfilamento de rede e sistema, como 'ipconfig', 'systeminfo', 'tasklist' e 'netstat'.
Além das ferramentas de malware usadas pelo Evasive Panda nos ataques, a Symantec também viu atores de ameaça implantando APKs Android trojanizados, ferramentas de interceptação de requisições SMS e DNS, e malware construído para atacar os sistemas Solaris OS obscuros.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...