Eset обнаружили кампанию кибершпионажа, которая использовала фестиваль Монлам - религиозное собрание - для атак на тибетцев в нескольких странах и территориях.
Злоумышленники взломали сайт организатора ежегодного фестиваля, который проходит в Индии, и добавили вредоносный код для создания атаки "водяная яма", направленной на пользователей, подключающихся к определенным сетям.
Eset также обнаружили, что цепочка поставок одного из разработчиков программного обеспечения была взломана, и пользователям предлагались троянские программы установки для Windows и macOS.
Злоумышленники использовали для этой операции ряд вредоносных программ-загрузчиков и полнофункциональных бэкдоров, включая публично недокументированный бэкдор для Windows, который назвали Nightdoor.
Eset с высокой степенью уверенности приписывает эту кампанию APT-группе Evasive Panda, связанной с Китаем.
Indicators of Compromise
IPv4
- 154.49.137.16
- 185.12.14.13
- 193.43.134.113
- 195.54.160.59
- 45.129.199.200
- 45.129.199.222
- 45.9.148.165
- 45.9.148.207
- 45.9.150.58
- 46.249.58.177
- 89.116.52.79
Domains
- choicelive149200.com
- infoattention.com
- infonotifi.com
- infonotification.com
- login.microsoftidonline.com
- minagroua.org
- minuaregion.org
- minuaregionbecareful.com
- navalny-votes.net
- navalny-votesmart.net
- navalny-voting.net
- stronginfo1.com
- uaminagro.com
- ua-minagro.com
- uamtu.com
Emails
- happyny@infoattention.com
- happyny@infonotifi.com
- happyny@infonotification.com
- happyny@stronginfo1.com
- minagroua@vps-3075.lethost.network
- minregion@minuaregion.org
- minregion@minuaregionbecareful.com
- minregion@uaminagro.com
- minregion@uamtu.com
- mozua@minagroua.org
- mozua@ua-minagro.com
SHA1
- 15bf71a771256846d44e8cb3012ee6bc6f9e1532
- 3c201b2e40357996b3832c72ea305606f07477e3
- 960341b2c296c425821e4b42435a0618b89d4037
- bb14153040608a4f559f48c20b98c1056c794a60