Китайская APT Evasive Panda доставляет вредоносное ПО через легитимное обновление Windows

Исследователи безопасности из ИБ-компании ESET обнаружили , что китайская APT-группировка Evasive Panda перехватывает каналы обновления китайских приложений для доставки шпионских программ отдельным лицам в Китае и Нигерии.

По данным ESET, при выполнении автоматических обновлений легитимный программный компонент загружал установщики бэкдора MgBot с легитимных URL-адресов и IP-адресов. Модульное вредоносное ПО позволяет Evasive Panda шпионить за жертвами и расширять свои возможности на ходу.

Модульное вредоносное ПО MgBot может предоставить злоумышленникам значительный объем информации о скомпрометированной машине. Модули MgBot выполняют следующие действия:

• сбор данных браузера;
• регистрация нажатий клавиш (кейлоггинг);
• захват снимков экрана;
• запись звука;
• перечисление каталогов Active Directory (Active Directory Enumeration).

Активность была приписана группе Evasive Panda (BRONZE HIGHLAND, Daggerfly), поскольку исследователи никогда не наблюдали других злоумышленников, использующих бэкдор MgBot. Атаки продолжаются уже 2 года , и их основной целью является кража учетных и конфиденциальных данных для шпионажа. Большинство жертв являются членами международных неправительственных организаций.

Использование каналов обновления ПО — это хитрый и умный метод обхода обнаружения традиционными средствами безопасности. После доставки вредоносного ПО через обновление оно может работать в фоновом режиме незамеченным, а киберпреступники могут извлечь конфиденциальную информацию с устройства жертвы.

По словам экспертов, вредоносное ПО MgBot было специально настроено для каждой жертвы, что свидетельствует о высокой степени сложности и изощрённости атак Evasive Panda. Такой тип вредоносного ПО трудно обнаружить, а также сложно построить надёжную защиту от него, поэтому для отдельных лиц и организаций крайне важно применять рекомендуемые меры кибербезопасности.