'Kurtuluş Panda' olarak izlenen Çin hack grubu, Macma Backdoor ve Nightdoor Windows kötü amaçlı yazılımların yeni sürümleri kullanılarak tespit edildi.
Symantec'in tehdit av ekibi, Tayvan'daki örgütleri hedefleyen siber casusluk saldırılarını ve Çin'deki Amerikan sivil toplum kuruluşlarını tespit etti.
İkinci durumda, kaçan panda ('Daggerfly' veya 'Bronz Highland'), imza modüler kötü amaçlı yazılım çerçevesi, mgbot'un yeni bir versiyonunu sunmak için bir Apache HTTP sunucusunda bir kusurdan yararlandı ve araçlarını yenilemek ve evade etmek için sürekli bir çaba gösterdi. tespit etme.
Kaçan Panda'nın en azından 2012'den beri aktif olduğuna inanılıyor ve hem yerel hem de uluslararası casusluk operasyonları yürütüyor.
En son, ESET, siberishan grubunun Çin'deki STK üyelerini MGBOT kötü amaçlı yazılımlarla enfekte etmek için Tencent QQ yazılım güncellemeleri kullandığı garip bir etkinlik yakaladı.
İhlaller, bir tedarik zinciri veya ortada bir düşman (AITM) saldırısı yoluyla elde edildi, tam saldırı yöntemi etrafındaki belirsizlik, tehdit oyuncusunun karmaşıklığını vurguladı.
Macma, ilk olarak 2021'de Google'ın etiketi tarafından belgelenen ancak asla belirli bir tehdit grubuna atfedilmeyen macOS için modüler bir kötü amaçlı yazılımdır.
Symantec, son Macma varyantlarının yaratıcılarının mevcut işlevsellik üzerine inşa edildiği devam eden gelişme gösterdiğini söylüyor.
Şüpheli kaçan panda saldırılarında görülen en son varyantlar aşağıdaki eklemeleri/iyileştirmeleri içerir:
MACMA ve Kansar Panda arasındaki bir bağlantının ilk göstergesi, en son varyantlardan ikisinin bir mgbot damlası tarafından da kullanılan bir komut ve kontrol (C2) IP adresine bağlanmasıdır.
En önemlisi, aynı grubun araç setindeki Macma ve diğer kötü amaçlı yazılımlar, tehdit ve senkronizasyon ilkelleri, olay bildirimleri ve zamanlayıcılar, veri maruz kalma ve platformdan bağımsız soyutlamalar sağlayan tek bir paylaşılan kütüphane veya çerçeveden kod içerir.
Kalan Panda, bu kütüphaneyi Windows, MacOS, Linux ve Android için kötü amaçlı yazılım oluşturmak için kullandı. Herhangi bir kamu deposunda mevcut olmadığından, Symantec bunun sadece tehdit grubu tarafından kullanılan özel bir çerçeve olduğuna inanmaktadır.
Aynı kütüphaneyi kullanan bir diğer kötü amaçlı yazılım, ESET'in birkaç ay önce kaçan Panda'ya atfedilen bir Windows arka kapısı olan Nightdoor (aka 'netmm').
Symantec izlenen saldırılarda Nightdoor, OneDrive'a bağlanacak ve meşru bir arka plan programı araçları lite yardımcı uygulaması ('meitude.exe') ve kalıcılık için planlanmış görevler oluşturan bir DLL dosyası ('motor.dll') getirecek şekilde yapılandırıldı. bellekte yük.
Nightdoor, 'Al-Khaser' projesinden bir anti-VM kodu ve C2 ile açık borular yoluyla etkileşim kurmak için 'cmd.exe' kullanır.
'Ipconfig', 'SystemInFo,' 'Görev Listesi' ve 'Netstat' gibi ağ ve sistem profil oluşturma komutlarının yürütülmesini destekler.
Kalan Panda tarafından saldırılarda kullanılan kötü amaçlı yazılım araçlarına ek olarak, Symantec, tehdit aktörlerinin truva android APK'larını, SMS ve DNS'yi istemek müdahale araçları ve belirsiz Solaris İşletim Sistemleri sistemlerini hedeflemek için oluşturulan kötü amaçlı yazılımlar kullandığını gördü.
Çinli bilgisayar korsanları dünya çapında 20.000 Fortigate Sistemini ihlal etti
Cisco, özel kötü amaçlı yazılımları dağıtmak için NX-OS Zero-Day'i uyarıyor
Bilgisayar korsanları, yıllarca gizlice veri çalmak için F5 Big-IP kötü amaçlı yazılım kullanın
UNC3886 Hackerlar, VMware ESXI VMS'yi gizlemek için Linux rootkits kullanır
Çin hackleme grupları siber casusluk kampanyasında bir araya geliyor
Kaynak: Bleeping Computer