Hackers Estatais Chineses Miram Tibetanos com Ataques de Cadeia de Suprimentos e de Cofrarias
8 de Março de 2024

O ator de ameaça vinculado à China, conhecido como Evasive Panda, orquestrou tanto ataques a redes hídricas (watering hole) quanto a cadeias de suprimentos (supply chain) visando usuários tibetanos pelo menos desde setembro de 2023.

O objetivo final dos ataques é entregar downloaders maliciosos para Windows e macOS que implantam um backdoor conhecido como MgBot e um implante Windows anteriormente não documentado conhecido como Nightdoor.

As descobertas vêm da ESET, que afirmou que os atacantes comprometeram pelo menos três sites para realizar ataques de tipo watering-hole, além de um comprometimento da cadeia de suprimentos de uma empresa de software tibetana.

A operação foi descoberta em janeiro de 2024.

Evasive Panda, ativo desde 2012 e também conhecido como Bronze Highland e Daggerfly, foi previamente divulgado pela empresa eslovaca de segurança cibernética em abril de 2023 por ter visado uma organização não-governamental internacional (ONG) na China continental com MgBot.

Outro relatório da Symantec, pertencente à Broadcom, na mesma época, implicou o adversário em uma campanha de espionagem cibernética com o objetivo de infiltrar provedores de serviços de telecomunicações na África pelo menos desde novembro de 2022.

O último conjunto de assaltos cibernéticos envolve o comprometimento estratégico na web do site da Kagyu International Monlam Trust ("www.kagyumonlam[.]org").

"Os atacantes colocaram um script no site que verifica o endereço IP da potencial vítima e, se estiver dentro de um dos intervalos de endereços visados, mostra uma página de erro falsa para incentivar o usuário a baixar uma 'correção' chamada certificado", disseram os pesquisadores da ESET.

"Este arquivo é um downloader malicioso que implanta a próxima etapa na cadeia de comprometimento." As verificações de endereço IP mostram que o ataque é especificamente projetado para atingir usuários na Índia, Taiwan, Hong Kong, Austrália e nos EUA.

Suspeita-se que o Evasive Panda tenha se aproveitado do Festival Anual Kagyu Monlam que ocorreu na Índia no final de janeiro e fevereiro de 2024 para atingir a comunidade tibetana em vários países e territórios.
O executável - chamado "certificate.exe" no Windows e "certificate.pkg" para macOS - serve como uma plataforma de lançamento para carregar o implante Nightdoor, que, subsequentemente, abusa da API do Google Drive para comando e controle (C2).

Além disso, a campanha é notável por infiltrar o site de uma empresa de software indiana ("monlamit[.]com") e a cadeia de suprimentos para distribuir instaladores trojanizados do Windows e macOS do software de tradução de idioma tibetano.

O comprometimento ocorreu em setembro de 2023.

"Os atacantes também abusaram do mesmo site e de um site de notícias tibetano chamado Tibetpost - tibetpost[.]net - para hospedar as payloads obtidas pelos downloads maliciosos, incluindo duas backdoors completas para Windows e um número desconhecido de payloads para macOS", observaram os pesquisadores.

O instalador de Windows trojanizado, por sua vez, desencadeia uma sequência de ataques em várias etapas sofisticadas para deixar cair o MgBot ou o Nightdoor, sinais dos quais foram detectados já em 2020.

A backdoor vem equipada com recursos para coletar informações do sistema, lista de aplicativos instalados, e processos em execução; criar um shell reverso, realizar operações de arquivo, e se desinstalar do sistema infectado.

"Os atacantes colocaram em campo vários downloaders, droppers e backdoors, incluindo MgBot - usado exclusivamente pelo Evasive Panda - e Nightdoor: a última grande adição ao kit de ferramentas do grupo e que tem sido usado para atingir várias redes no Leste Asiático," disse a ESET.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...