De met China verbonden dreigingsacteur bekend als Ontwijkende Panda heeft in ieder geval sinds september 2023 aanvallen op de drinkplaatsen en de toeleveringsketen georkestreerd, gericht op Tibetaanse gebruikers.
Het einde van de aanvallen is het leveren van kwaadaardige downloaders voor Windows en macOS die een bekende achterdeur gebruiken genaamd MgBot en een voorheen ongedocumenteerd Windows-implantaat dat bekend staat als Nightdoor.
De bevindingen zijn afkomstig van ESET, dat zegt dat de aanvallers ten minste drie websites hebben gecompromitteerd om watering-hole-aanvallen uit te voeren, evenals een compromis in de toeleveringsketen van een Tibetaans softwarebedrijf. De operatie werd ontdekt in januari 2024.
Evasive Panda, actief sinds 2012 en ook wel bekend als Bronze Highland en Daggerfly, werd eerder in april 2023 door het Slowaakse cyberbeveiligingsbedrijf bekendgemaakt als doelwit van MgBot tegen een internationale niet-gouvernementele organisatie (NGO) op het vasteland van China.
Een ander rapport van Symantec, eigendom van Broadcom, impliceerde rond dezelfde tijd dat de tegenstander betrokken was bij een cyberspionagecampagne gericht op het infiltreren van telecomproviders in Afrika, in ieder geval sinds november 2022.
De nieuwste reeks cyberaanvallen omvat het strategische webcompromis van de website van de Kagyu International Monlam Trust (“www.kagyumonlam[.]org”).
“De aanvallers hebben een script op de website geplaatst dat het IP-adres van het potentiële slachtoffer verifieert en als het binnen een van de doelbereiken van adressen valt, wordt een valse foutpagina weergegeven om de gebruiker te verleiden een certificaat met de naam ‘fix’ te downloaden.” Dat zeggen ESET-onderzoekers.
“Dit bestand is een kwaadaardige downloader die de volgende fase in de compromisketen in gang zet.” Uit de IP-adrescontroles blijkt dat de aanval specifiek is ontworpen om gebruikers in India, Taiwan, Hong Kong, Australië en de VS te targeten
Het vermoeden bestaat dat Evasive Panda heeft geprofiteerd van het jaarlijkse Kagyu Monlam Festival dat eind januari en februari 2024 in India plaatsvond om zich te richten op de Tibetaanse gemeenschap in verschillende landen en gebieden.
Het uitvoerbare bestand – genaamd “certificate.exe” op Windows en “certificate.pkg” voor macOS – dient als startpunt voor het laden van het Nightdoor-implantaat, dat vervolgens de Google Drive API misbruikt voor command-and-control (C2).
Bovendien is de campagne opmerkelijk vanwege het infiltreren van de website van een Indiaas softwarebedrijf (“monlamit[.]com”) en toeleveringsketen om getrojaniseerde Windows- en macOS-installatieprogramma’s van de Tibetaanse vertaalsoftware te distribueren. Het compromis vond plaats in september 2023.
“De aanvallers misbruikten ook dezelfde website en een Tibetaanse nieuwswebsite genaamd Tibetpost – tibetpost[.]net – om de payloads te hosten die door de kwaadaardige downloads zijn verkregen, waaronder twee volledig uitgeruste backdoors voor Windows en een onbekend aantal payloads voor macOS”, aldus de onderzoekers.
Het getrojaniseerde Windows-installatieprogramma activeert op zijn beurt een geavanceerde, uit meerdere fasen bestaande aanvalsreeks om MgBot of Nightdoor te laten vallen, waarvan de tekenen al in 2020 zijn ontdekt.
De achterdeur is uitgerust met functies voor het verzamelen van systeeminformatie, een lijst met geïnstalleerde apps en actieve processen; een omgekeerde shell voortbrengen, bestandsbewerkingen uitvoeren en zichzelf van het geïnfecteerde systeem verwijderen.
“De aanvallers hebben verschillende downloaders, droppers en backdoors ingezet, waaronder MgBot – dat exclusief door Evasive Panda wordt gebruikt – en Nightdoor: de nieuwste grote toevoeging aan de toolkit van de groep en die is gebruikt om verschillende netwerken in Oost-Azië aan te vallen”, aldus ESET. .
