El grupo de hackers chino conocido como “Evasive Panda” ha sido descubierto utilizando nuevas versiones del malware Macma backdoor y Windows Nightdoor.
El equipo de búsqueda de amenazas de Symantec Ataques de ciberespionaje detectados apuntando a organizaciones en Taiwán y a una organización no gubernamental estadounidense en China.
En el último caso, Evasive Panda (también conocido como “Daggerfly” o “Bronze Highland”) aprovechó una falla en un servidor HTTP Apache para entregar una nueva versión de su marco de malware modular, MgBot, lo que indica un esfuerzo continuo para actualizar sus herramientas y escapar de la detección. .
Se cree que Evasive Panda ha estado activo desde al menos 2012, realizando operaciones de espionaje nacionales e internacionales.
Más recientemente, ESET detectó una actividad extraña en la que el grupo de ciberespionaje utilizó actualizaciones del software Tencent QQ para infectar a miembros de ONG en China con el malware MgBot.
Las infracciones se llevaron a cabo a través de una cadena de suministro o un ataque de adversario en el medio (AITM), y la incertidumbre en torno al método de ataque exacto utilizado resalta la sofisticación del actor de la amenaza.
Macma vinculado a Evasive Panda
Macma es un malware modular para macOS, documentado por primera vez por Etiqueta de Google en 2021, pero nunca asignado a un grupo de amenaza específico.
Symantec dice que las variantes recientes de Macma demuestran un desarrollo continuo en el que sus creadores aprovechan las características existentes.
Las últimas variantes observadas en presuntos ataques de Evasive Panda contienen las siguientes adiciones/mejoras:
- Nueva lógica para recopilar la lista del sistema de un archivo, con nuevo código basado en Tree, una utilidad Linux/Unix disponible públicamente.
- Código cambiado en la funcionalidad AudioRecorderHelper
- Ajustes adicionales
- Registro de depuración adicional
- Se agregó un nuevo archivo (param2.ini) para configurar opciones para ajustar el tamaño de la captura de pantalla y la relación de aspecto.
El primer indicio de una conexión entre Macma y Evasive Panda es que dos de las últimas variantes se conectan a una dirección IP de comando y control (C2) que también utiliza un cuentagotas MgBot.
Más importante aún, Macma y otro malware en el conjunto de herramientas del mismo grupo contienen código de una única biblioteca o marco compartido, que proporciona primitivas de amenaza y sincronización, notificaciones de seguridad, eventos y temporizadores, clasificación de datos y abstracciones independientes de la plataforma.
Fuente: Symantec
Evasive Panda utilizó esta biblioteca para crear malware para Windows, macOS, Linux y Android. Como no está disponible en ningún repositorio público, Symantec cree que es un marco personalizado utilizado exclusivamente por el grupo de amenazas.
Otras herramientas evasivas de Panda
Otro malware que utiliza la misma biblioteca es Nightdoor (también conocido como “NetMM”), una puerta trasera de Windows que ESET ha premiado a Evasive Panda hace unos meses.
En los ataques rastreados por Symantec, Nightdoor se configuró para conectarse a OneDrive y recuperar una aplicación DAEMON Tools Lite Helper legítima (“MeitUD.exe”) y un archivo DLL (“Engine.dll”) que crea tareas programadas para la persistencia y carga. la carga útil final en la memoria.
Nightdoor utiliza código anti-VM del proyecto “al-khaser” y “cmd.exe” para interactuar con C2 a través de canales abiertos.
Admite la ejecución de comandos para la creación de perfiles de red y sistema, como “ipconfig”, “systeminfo”, “tasklist” y “netstat”.
Además de las herramientas de malware utilizadas por Evasive Panda en los ataques, Symantec también ha visto a actores maliciosos implementar APK de Android troyanizados, herramientas de interceptación de consultas de SMS y DNS, y malware diseñado para apuntar a oscuros sistemas operativos Solaris.
