Evasive Panda」として追跡されている中国のハッキンググループは、MacmaバックドアとNightdoor Windowsマルウェアの新バージョンを使用していることが判明した。
シマンテックの脅威ハンティングチームは、台湾の組織と中国にある米国の非政府組織を標的にしたサイバースパイ攻撃を発見しました。
後者のケースでは、Evasive Panda(別名’Daggerfly’または’Bronze Highland’)は、Apache HTTPサーバーの欠陥を悪用して、彼らのシグネチャーモジュラーマルウェアフレームワークであるMgBotの新バージョンを配信しました。
Evasive Pandaは、少なくとも2012年から活動を開始し、国内および国際的なスパイ活動を行っていると考えられている。
最近ESETは、このサイバースパイグループがTencent QQソフトウェアのアップデートを利用して、中国のNGOメンバーをMgBotマルウェアに感染させるという奇妙な活動をキャッチしました。
これらの侵害は、サプライチェーンまたは中間者(AITM)攻撃によって達成されましたが、使用された正確な攻撃方法に関する不確実性は、脅威行為者の洗練性を浮き彫りにしています。
Evasive Pandaに関連するMacma
MacmaはmacOS向けのモジュール型マルウェアで、2021年にGoogleのTAGによって初めて文書化されたが、特定の脅威グループに起因することはなかった。
シマンテックによると、最近のMacmaの亜種は、作成者が既存の機能をベースに開発を続けていることを示しているという。
Evasive Pandaの疑いのある攻撃に見られる最新の亜種には、以下の追加/改良が含まれています:
- 公開されているLinux/UnixユーティリティであるTreeをベースにした、ファイルのシステムリストを収集するための新しいロジック。
- AudioRecorderHelper 機能におけるコードの変更
- パラメータの追加
- デバッグロギングの追加
- スクリーンショットのサイズとアスペクト比を調整するオプションを設定するための新しいファイル(param2.ini)の追加
MacmaとEvasive Pandaの関連を示す最初の兆候は、最新の亜種のうち2つが、MgBotドロッパーでも使用されているコマンド&コントロール(C2)IPアドレスに接続していることです。
最も重要なことは、Macmaと同じグループのツールキット上の他のマルウェアは、脅威と同期プリミティブ、イベント通知とタイマー、データマーシャリング、およびプラットフォームに依存しない抽象化を提供する単一の共有ライブラリまたはフレームワークのコードを含んでいることです。
出典:Symantec:シマンテック
Evasive Pandaはこのライブラリを使用して、Windows、macOS、Linux、Android向けのマルウェアを構築しています。このライブラリは一般公開されていないため、シマンテックは、この脅威グループが独占的に使用しているカスタムフレームワークであると考えています。
その他の Evasive Panda ツール
同じライブラリを使用する別のマルウェアとして、数ヶ月前にESETがEvasive Pandaの仕業としたWindowsバックドア「Nightdoor」(別名「NetMM」)がある。
シマンテックが追跡した攻撃では、NightdoorはOneDriveに接続し、正規のDAEMON Tools Lite Helperアプリケーション(’MeitUD.exe’)と、永続化のためにスケジュールされたタスクを作成し、最終的なペイロードをメモリにロードするDLLファイル(’Engine.dll’)を取得するように構成されていました。
Nightdoorは、「al-khaser」プロジェクトのアンチVMコードと「cmd.exe」を使用して、オープンパイプを介してC2とやり取りします。
ipconfig」、「systeminfo」、「tasklist」、「netstat」など、ネットワークやシステムのプロファイリング用のコマンドの実行をサポートしている。
Evasive Pandaが攻撃に使用したマルウェアツールに加え、シマンテックは、脅威行為者がトロイの木馬化されたAndroid APK、SMSおよびDNSリクエストの傍受ツール、無名のSolaris OSシステムをターゲットに構築されたマルウェアを展開するのを確認している。
Comments