Известная китайская хакерская группировка Evasive Panda была замечена в использовании новых версий бэкдора Macma и вредоносного ПО Nightdoor для Windows. Эксперты компании Symantec сообщили о выявлении кибершпионских атак, направленных против организаций на Тайване и американской неправительственной организации в Китае, сообщает издание Bleeping Computer.
Как рассказывают эксперты, хакерская группировка Evasive Panda при проведении недавно выявленных атак активно эксплуатировала уязвимость в HTTP-сервере Apache для доставки новой версии своего сигнатурного модульного вредоносного фреймворка MgBot, что свидетельствует о постоянных усилиях по обновлению своих инструментов и уклонению от обнаружения.
Предполагается, что хакерская группа Evasive Panda действует как минимум с 2012 года, проводя как внутренние, так и международные шпионские операции. Совсем недавно словацкая компания по информационной безопасности ESET зафиксировала странную активность: группа кибершпионажа использовала обновления программного обеспечения Tencent QQ для заражения членов НПО в Китае вредоносным ПО MgBot. Взломы были осуществлены через цепочку поставок или атаку типа «злоумышленник посередине» (AITM), при этом неопределённость относительно точного метода атаки подчеркивает изощрённость злоумышленников.
Macma — это модульное вредоносное ПО для macOS, впервые выявленное и задокументированное экспертами команды TAG Google в 2021 году, но никогда не отнесенное к конкретной хакерской группе. В Symantec утверждают, что последние версии Macma демонстрируют непрерывную разработку вредоноса, в которой её создатели дополняют уже существующие функциональные возможности.
Ещё одна вредоносная программа, использующая ту же библиотеку, — Nightdoor (он же «NetMM»), бэкдор для Windows, который компания ESET несколько месяцев назад приписала Evasive Panda. В отслеженных Symantec атаках Nightdoor был настроен на подключение к OneDrive и загрузку легитимного приложения DAEMON Tools Lite Helper («MeitUD.exe») и файла DLL («Engine.dll»), который создаёт запланированные задачи для сохранения и загружает окончательную полезную нагрузку в память.
Оригинал публикации на сайте CISOCLUB: "Китайские хакеры внедряют в устройства с Windows вредоносное ПО Nightdoor".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.