Le groupe des menaces persistantes avancées (APT) appelé Panda évasif a été observé ciblant une organisation non gouvernementale (ONG) internationale en Chine continentale avec des logiciels malveillants diffusés via des canaux de mise à jour d’applications légitimes telles que Tencent QQ.
Les chaînes d’attaque sont conçues pour distribuer un programme d’installation Windows pour le malware MgBot, a déclaré le chercheur en sécurité d’ESET Facundo Muñoz dans un nouveau rapport publié aujourd’hui. L’activité a débuté en novembre 2020 et s’est poursuivie tout au long de 2021.
Evasive Panda, également connu sous le nom de Bronze Highland et Daggerfly, est un groupe APT de langue chinoise qui a été attribué à une série de attaques de cyberespionnage ciblant diverses entités en Chine, à Hong Kong et dans d’autres pays situés en Asie de l’Est et du Sud depuis au moins fin décembre 2012.
La marque de fabrique du groupe est l’utilisation du cadre de malware modulaire personnalisé MgBot, qui est capable de recevoir des composants supplémentaires à la volée pour étendre ses capacités de collecte de renseignements.
Certaines des principales fonctionnalités du logiciel malveillant incluent le vol de fichiers, l’enregistrement des frappes au clavier, la collecte de données du presse-papiers, l’enregistrement de flux audio et le vol d’informations d’identification à partir de navigateurs Web.
ESET, qui a découvert la campagne en janvier 2022 après qu’une application chinoise légitime a été utilisée pour déployer un programme d’installation pour la porte dérobée MgBot, a déclaré que les utilisateurs ciblés étaient situés dans les provinces de Gansu, Guangdong et Jiangsu et sont membres d’une ONG internationale anonyme.
L’application cheval de Troie est le programme de mise à jour du logiciel client Tencent QQ Windows (« QQUrlMgr.exe ») hébergé sur le domaine « update.browser.qq ».[.]com. » On ne sait pas immédiatement comment l’acteur de la menace a réussi à livrer l’implant via des mises à jour légitimes.
Mais cela pointe vers l’un ou l’autre des deux scénarios : une compromission de la chaîne d’approvisionnement des serveurs de mise à jour de Tencent QQ ou un cas d’attaque d’adversaire au milieu (AitM), comme détaillé par Kaspersky en juin 2022 impliquant une équipe de piratage chinoise surnommée LuoYu. .
Ces dernières années, de nombreuses attaques de la chaîne d’approvisionnement en logiciels ont été orchestrées par des groupes d’États-nations de Russie, de Chine et de Corée du Nord. La possibilité d’acquérir une grande empreinte malveillante rapidement n’a pas été perdu pour ces attaquants, qui ciblent de plus en plus la chaîne d’approvisionnement informatique pour pénétrer dans les environnements d’entreprise.
Zero Trust + Deception : apprenez à déjouer les attaquants !
Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !
« Les styles d’interception AitM seraient possibles si les attaquants – LuoYu ou Evasive Panda – étaient capables de compromettre des appareils vulnérables tels que des routeurs ou des passerelles », a expliqué Muñoz.
« Avec un accès à l’infrastructure dorsale du FAI – par des moyens légaux ou illégaux – Evasive Panda serait en mesure d’intercepter et de répondre aux demandes de mise à jour effectuées via HTTP, voire de modifier des paquets. »
Ceci est important car les résultats surviennent moins d’une semaine après les attaques détaillées de Symantec, propriété de Broadcom, montées par l’acteur menaçant contre les fournisseurs de services de télécommunications en Afrique à l’aide du framework de logiciels malveillants MgBot.