ESET’ten siber güvenlik araştırmacıları, güçlü bir bilgi hırsızı sunmak için meşru bir Çin mesajlaşma uygulamasını kötüye kullanan, yüksek oranda hedeflenmiş, gelişmiş bir siber casusluk kampanyası tespit etti.
Kampanyada, Evasive Panda olarak bilinen bir tehdit aktörü, bilgi çalan bir kötü amaçlı yazılım yaymak için Tencent QQ mesajlaşma uygulamasında bir güncelleme kullandı. (yeni sekmede açılır) MsgBot olarak bilinir.
MsgBot, belirli Tencent uygulamalarında günlüğe kaydetme, sabit sürücülerden ve USB disklerden dosya çalma, panoyu izleme, giriş ve çıkış ses akışlarını yakalama, Outlook ve Foxmail için şifreleri ve ayrıca depolanan kimlik bilgilerini ve çerezleri çalma dahil olmak üzere birçok şeyi yapabilir. popüler tarayıcılarda (Chrome, Firefox, Opera ve diğerleri). Ayrıca Tencent QQ uygulamasından mesaj geçmişini ve Tencent WeChat’ten bilgi çalabilir.
STK’ları hedefleme
Saldırganlar bu bilgi hırsızı ile geniş bir ağ oluşturmadı. Aslında bir avuç insanı hedef aldılar. ESET, hedeflerin çoğunun Çin’in üç ayrı eyaletinde bulunan uluslararası bir sivil toplum örgütünün (STK) üyeleri olduğunu söylüyor: Gansu, Guangdong ve Jiangsu.
Evasive Panda adlı kampanyanın arkasındaki grubun on yıldan fazla bir süredir (2012’den beri) aktif olduğu ve bu süre zarfında Çin, Hong Kong, Makao ve Asya’daki diğer ülkelerdeki sayısız kuruluşu ve kişiyi hedef aldığı iddia ediliyor. ESET, bu özel kampanyanın üç yıldan uzun süredir aktif olduğunu ve büyük olasılıkla 2020’de başladığını söylüyor.
Araştırmacılar kampanyayı kimin yürüttüğünü, hedeflerin kim olduğunu ve hangi araçların kullanıldığını bilse de, “nasıl” olduğu bir sır olarak kalıyor. ESET’in şu anda Evasive Panda’nın bu uç noktaları MsgBot ile nasıl enfekte ettiğine dair iki olası senaryosu vardır – ya bir tedarik zinciri saldırısı ya da bir ortadaki düşman saldırısı.
Tedarik zinciri saldırısıyla, Evasive Panda’nın Tencent’in ağına sızması, Tencent QQ uygulaması için yaklaşan bir güncellemeyi belirlemesi ve ona kötü amaçlı yazılım bulaştırması gerekir. Ortadaki bir düşman saldırısında, yükün geçiş sırasında ele geçirilmesi ve truva atına dönüştürülmesi gerekir.
ESET, her iki senaryonun da makul olduğunu söylüyor.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)