Исследователи ESET обнаружили кампанию, которую приписывает APT-группе, известной как Evasive Panda, где каналы обновления легитимных приложений таинственным образом перехватывались для доставки установщика вредоносной программы MgBot, флагманского бэкдора Evasive Panda.
Пользователи в материковом Китае подвергались атакам вредоносного ПО, поставляемого через обновления для программного обеспечения, разработанного китайскими компаниями.
Evasive Panda APT
Evasive Panda (также известная как BRONZE HIGHLAND и Daggerfly) - китайскоязычная APT-группа, активная как минимум с 2012 года. По данным ESET Research, группа осуществляла кибершпионаж против частных лиц в материковом Китае, Гонконге, Макао и Нигерии. Правительственные организации были атакованы в Китае, Макао, странах Юго-Восточной и Восточной Азии, в частности, Мьянме, Филиппинах, Тайване и Вьетнаме, а также другие организации в Китае и Гонконге. Согласно публичным сообщениям, группа также атаковала неизвестные организации в Гонконге, Индии и Малайзии.
Группа внедряет собственную систему вредоносных программ с модульной архитектурой, которая позволяет ее бэкдору, известному как MgBot, получать модули для шпионажа за своими жертвами и расширения своих возможностей.
Indicators of Compromise
IPv4
- 122.10.88.226
- 122.10.90.12
SHA1
- 0781a2b6eb656d110a3a8f60e8bce9d407e4c4ff
- 10fb52e4a3d5d6bda0d22bb7c962bde95b8da3dd
- 22532a8c8594cd8a3294e68ceb56accf37a613b3
- 2ac41ffcde6c8409153df22872d46cd259766903
- 65b03630e186d9b6adc663c313b44ca122ca2079
- 8a98a023164b50dec5126eda270d394e06a144ff
- 970babe49945b98efada72b2314b25a008f75843
- 9d1ecbbe8637fed0d89fca1af35ea821277ad2e8
- d60ee17418cc4202bb57909bec69a76bd318eeb4
- e5214ab93b3a1fc3993ef2b4ad04dfcc5400d5e2