O grupo de hackers chinês conhecido como 'Evasive Panda' foi identificado utilizando novas versões do backdoor Macma e do malware Nightdoor direcionados para Windows.
A equipe de caça a ameaças da Symantec detectou ataques de espionagem cibernética contra organizações em Taiwan e uma organização não governamental americana na China.
No caso mais recente, o Evasive Panda (também chamado de 'Daggerfly' ou 'Bronze Highland') explorou uma vulnerabilidade em um servidor Apache HTTP para entregar uma nova versão de seu framework modular de malware, o MgBot, evidenciando seus esforços contínuos para atualizar suas ferramentas e evitar a detecção.
Acredita-se que o Evasive Panda esteja ativo desde pelo menos 2012, realizando operações de espionagem tanto domésticas quanto internacionais.
Recentemente, a ESET identificou uma atividade incomum onde o grupo de ciberespionagem usou atualizações de software do Tencent QQ para infectar membros de ONGs na China com o malware MgBot.
Essas violações foram realizadas através de um ataque à cadeia de suprimentos ou um ataque de adversário no meio (AITM), destacando a sofisticação do grupo devido à incerteza do método exato usado.
O Macma é um malware modular para macOS, documentado pela primeira vez pelo TAG(Threat Analysis Group) do Google em 2021, mas nunca atribuído a um grupo de ameaça específico.
A Symantec relata que as variantes recentes do Macma mostram um desenvolvimento contínuo, com os criadores aprimorando suas funcionalidades existentes.
As variantes mais recentes, vistas em ataques suspeitos do Evasive Panda, incluem as seguintes adições e melhorias:
Nova lógica para coletar a lista de arquivos do sistema, com o código baseado na utilidade de código aberto Tree para Linux/Unix.
Código modificado na funcionalidade AudioRecorderHelper.
Parametrização adicional.
Log adicional de debug.
Adição de um novo arquivo (param2.ini) para definir opções de ajuste de tamanho e proporção de capturas de tela.
A primeira indicação de uma conexão entre Macma e Evasive Panda é que duas das variantes mais recentes se conectam a um endereço IP de comando e controle (C2) também utilizado por um dropper do MgBot.
Mais importante, o Macma e outros malwares do mesmo kit de ferramentas do grupo contêm código de uma biblioteca ou framework compartilhado, que fornece primitivas de sincronização e threads, notificações de eventos e temporizadores, marshaling de dados e abstrações independentes de plataforma.
"inp" and "tim" magic strings linked to the custom library
Fonte: Symantec
O Evasive Panda usou essa biblioteca para construir malwares para Windows, macOS, Linux e Android. Como não está disponível em nenhum repositório público, a Symantec acredita que seja um framework personalizado usado exclusivamente pelo grupo de ameaça.
Outro malware que utiliza a mesma biblioteca é o Nightdoor (também conhecido como 'NetMM'), um backdoor para Windows que a ESET atribuiu ao Evasive Panda há alguns meses.
Nos ataques rastreados pela Symantec, o Nightdoor foi configurado para se conectar ao OneDrive e buscar um aplicativo legítimo DAEMON Tools Lite Helper ('MeitUD.exe') e um arquivo DLL ('Engine.dll'), que cria tarefas agendadas para persistência e carrega a carga final na memória.
O Nightdoor utiliza código anti-VM do projeto 'al-khaser' e 'cmd.exe' para interagir com C2 via pipes abertos.
Ele suporta a execução de comandos para perfilamento de rede e sistema, como 'ipconfig', 'systeminfo', 'tasklist' e 'netstat'.
Além das ferramentas de malware usadas pelo Evasive Panda em ataques, a Symantec também observou atores de ameaças implantarem APKs Android trojanizados, ferramentas de interceptação de SMS e solicitações DNS, e malware projetado para atacar sistemas obscuros como Solaris OS.
Via - BC
Comments