'Kurtuluş Panda' olarak bilinen bir Çin Hacking Grubu, MSGBOT kötü amaçlı yazılımını Tencent QQ mesajlaşma uygulaması için otomatik bir güncellemenin bir parçası olarak dağıtan gizemli bir saldırıyla bağlantılıdır.
Kalan Panda, en az 2012'den beri daha önce Çin, Hong Kong, Macao, Nijerya ve Güneydoğu ve Doğu Asya'daki çeşitli ülkelerdeki organizasyonları ve bireyleri hedefleyen bir siber başarı grubudur.
Tehdit oyuncunun en son kampanyası, Ocak 2022'de ESET güvenlik araştırmacıları tarafından keşfedildi ve operasyonun 2020'de başladığına dair işaretleri gördüğünü bildirdi.
Kampanyanın kurbanlarının çoğu uluslararası bir STK'nın (sivil toplum kuruluşu) üyeleridir ve oldukça spesifik ve odaklanmış bir hedeflemeyi gösteren Gansu, Guangdong ve Jiangsu eyaletlerinde bulunmaktadır.
ESET, kötü amaçlı MSGBOT kötü amaçlı yazılım yükünün, yazılım geliştiricisine ait meşru URL'lerden ve IP adreslerinden Tencent QQ yazılım güncellemesi olarak mağdurlara teslim edildiğini bildirdi.
Bu, saldırı için iki olası senaryo olabileceği anlamına gelir-bir tedarik zinciri saldırısı veya ortada bir düşman (AITM) saldırısı.
İlk senaryoda, Kansar Panda, Meşru bir yazılım güncellemesi kisvesi altında kurbanlara teslim edilen 'Qqurlmgr.exe' dosyasını trojanize etmek için Tencent QQ'nun güncelleme dağıtım sunucularını ihlal etmek zorunda kalacaktı.
ESET, güncelleyici dosyasının truva atışlı sürümlerinin kötü amaçlı yazılımları sabit kodlu bir URL'den (“Update.Browser.qq [.] COM”) getirdiğini ve sunucu tarafından sağlanan doğru MD5 hash ile eşleşen bir sertleşme anahtarı kullandığını fark etti. Bununla birlikte, bu URL'nin meşruiyeti henüz doğrulanmadı ve Tencent ESET'in sorusuna cevap vermedi.
Ayrıca, analistler sunucudan XML güncelleme verilerinin bir örneğini alamadı, bu da kötü amaçlı yazılım dağıtım mekanizmasını ortaya çıkaracak.
Bir AITM senaryosunda ESET, Kaspersky'nin 2022 raporunda vurguladığı Luoyu apt'lerinden biri de dahil olmak üzere, bu taktiği kullanan geçmiş kampanyalarla bazı çarpıcı benzerlikler fark etti.
Bu eski kampanya, AITM veya tarafta saldırgan müdahaleyi gerçekleştirmek için Çin Telekom'dan rastgele IP adresleri üreten 'Winereal' kötü amaçlı yazılım kullandı. Bu IP'ler, kaçan Panda kampanyasında MGBOT kötü amaçlı yazılımları sunanlarla aynı aralıklarda gibi görünüyor.
Her iki senaryo da gözlenen tesadüflere ve olası açıklamalara dayanarak makul olsa da, ESET açık bir yöne işaret eden kanıt bulamadı ve birçok soru cevaplanmamıştır.
BleepingComputer, saldırı hakkında daha fazla soru ile hem ESET hem de Tencent ile temasa geçti.
Bu kampanyada sunulan MGBOT yükü, Kaçış Panda'nın 2012'deki faaliyetlerinin başlangıcından bu yana kullandığı bir C ++ Windows arka kapısıdır.
ESET, kötü amaçlı yazılımların, arka kapı, işlevsellik ve yürütme zincirinin MalwareBebytes'in 2020'de analiz ettiği için büyük ölçüde değişmeden kaldığını bildirdi.
MGBOT, işlevselliğini genişletmek için modüler bir mimari kullanır ve C2'den özel işlevler gerçekleştiren DLL eklentileri alır:
Sonuç olarak, kaçan panda apt, Çin'deki kullanıcıları hedefleyen, çoğunlukla Çin uygulamalarından veri çalmayı amaçlayan ve Tencent QQ yazılımında bir tedarik zinciri saldırısı yapmak için belirsiz bir yöntemden yararlanmayı amaçlayan bulundu.
Bu, grubun sosyal mühendislik, kimlik avı, SEO zehirlenmesi vb. Gibi standart enfeksiyon yöntemlerinin ötesine geçen ve potansiyel hedeflerden daha fazla uyanıklık gerektiren üst düzey yeteneklerinin karakteristik bir örneğidir.
2018'den beri yeni maruz kalan apt43 hackleme grubu bizi orgs hedefliyor
'Acı' Casusluk Bilgisayar korsanları Çin nükleer enerji kuruluşlarını hedefleyin
Kış Vivern APT Hacker'ları kötü amaçlı yazılım yüklemek için sahte antivirüs taramaları kullanır
Kış Vivern Hacker'ları NATO e -postalarını çalmak için Zimbra Kusurdan İstismar
Hacking Group 'Modifiedelephant' on yıl boyunca kaçınmış keşif
Kaynak: Bleeping Computer