O ator de ameaça vinculado à China, conhecido como Evasive Panda, orquestrou tanto ataques a redes hídricas (watering hole) quanto a cadeias de suprimentos (supply chain) visando usuários tibetanos pelo menos desde setembro de 2023.
O objetivo final dos ataques é entregar downloaders maliciosos para Windows e macOS que implantam um backdoor conhecido como MgBot e um implante Windows anteriormente não documentado conhecido como Nightdoor.
As descobertas vêm da ESET, que afirmou que os atacantes comprometeram pelo menos três sites para realizar ataques de tipo watering-hole, além de um comprometimento da cadeia de suprimentos de uma empresa de software tibetana.
A operação foi descoberta em janeiro de 2024.
Evasive Panda, ativo desde 2012 e também conhecido como Bronze Highland e Daggerfly, foi previamente divulgado pela empresa eslovaca de segurança cibernética em abril de 2023 por ter visado uma organização não-governamental internacional (ONG) na China continental com MgBot.
Outro relatório da Symantec, pertencente à Broadcom, na mesma época, implicou o adversário em uma campanha de espionagem cibernética com o objetivo de infiltrar provedores de serviços de telecomunicações na África pelo menos desde novembro de 2022.
O último conjunto de assaltos cibernéticos envolve o comprometimento estratégico na web do site da Kagyu International Monlam Trust ("www.kagyumonlam[.]org").
"Os atacantes colocaram um script no site que verifica o endereço IP da potencial vítima e, se estiver dentro de um dos intervalos de endereços visados, mostra uma página de erro falsa para incentivar o usuário a baixar uma 'correção' chamada certificado", disseram os pesquisadores da ESET.
"Este arquivo é um downloader malicioso que implanta a próxima etapa na cadeia de comprometimento." As verificações de endereço IP mostram que o ataque é especificamente projetado para atingir usuários na Índia, Taiwan, Hong Kong, Austrália e nos EUA.
Suspeita-se que o Evasive Panda tenha se aproveitado do Festival Anual Kagyu Monlam que ocorreu na Índia no final de janeiro e fevereiro de 2024 para atingir a comunidade tibetana em vários países e territórios.
O executável - chamado "certificate.exe" no Windows e "certificate.pkg" para macOS - serve como uma plataforma de lançamento para carregar o implante Nightdoor, que, subsequentemente, abusa da API do Google Drive para comando e controle (C2).
Além disso, a campanha é notável por infiltrar o site de uma empresa de software indiana ("monlamit[.]com") e a cadeia de suprimentos para distribuir instaladores trojanizados do Windows e macOS do software de tradução de idioma tibetano.
O comprometimento ocorreu em setembro de 2023.
"Os atacantes também abusaram do mesmo site e de um site de notícias tibetano chamado Tibetpost - tibetpost[.]net - para hospedar as payloads obtidas pelos downloads maliciosos, incluindo duas backdoors completas para Windows e um número desconhecido de payloads para macOS", observaram os pesquisadores.
O instalador de Windows trojanizado, por sua vez, desencadeia uma sequência de ataques em várias etapas sofisticadas para deixar cair o MgBot ou o Nightdoor, sinais dos quais foram detectados já em 2020.
A backdoor vem equipada com recursos para coletar informações do sistema, lista de aplicativos instalados, e processos em execução; criar um shell reverso, realizar operações de arquivo, e se desinstalar do sistema infectado.
"Os atacantes colocaram em campo vários downloaders, droppers e backdoors, incluindo MgBot - usado exclusivamente pelo Evasive Panda - e Nightdoor: a última grande adição ao kit de ferramentas do grupo e que tem sido usado para atingir várias redes no Leste Asiático," disse a ESET.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...