Cyberthreat.id - Aktor ancaman terkait China yang dikenal sebagai Evasive Panda mengatur serangan-serangan yang menyasar pengguna di Tibet setidaknya sejak September 2023.

Tujuan akhir dari serangan ini, menurut The Hacker News, adalah untuk mengirimkan pengunduh berbahaya untuk Windows dan macOS yang menyebarkan pintu belakang yang dikenal sebagai MgBot dan implan Windows yang sebelumnya tidak berdokumen yang dikenal sebagai Nightdoor.

Temuan ini berasal dari ESET, yang mengatakan bahwa para penyerang menyusupi setidaknya tiga situs web untuk melakukan serangan watering-hole serta menyusupi rantai pasokan sebuah perusahaan perangkat lunak Tibet. Operasi tersebut diketahui pada Januari 2024.

Evasive Panda, aktif sejak tahun 2012 dan juga dikenal sebagai Bronze Highland dan Daggerfly, sebelumnya diungkapkan oleh perusahaan keamanan siber Slovakia pada bulan April 2023 karena telah menargetkan organisasi non-pemerintah (LSM) internasional di China Daratan dengan MgBot.

Laporan lain dari Symantec milik Broadcom pada waktu yang hampir bersamaan mengimplikasikan musuh tersebut melakukan kampanye spionase dunia maya yang bertujuan menyusup ke penyedia layanan telekomunikasi di Afrika setidaknya sejak November 2022.

Serangkaian serangan cyber terbaru memerlukan kompromi web strategis dari situs web Kagyu International Monlam Trust ("www.kagyumonlam[.]org").

"Penyerang menempatkan skrip di situs web yang memverifikasi alamat IP calon korban dan jika alamat tersebut berada dalam salah satu rentang alamat yang ditargetkan, akan menampilkan halaman kesalahan palsu untuk membujuk pengguna agar mengunduh sertifikat bernama 'perbaikan'," kata peneliti ESET.

"File ini adalah pengunduh berbahaya yang menyebarkan tahap berikutnya dalam rantai kompromi." Pemeriksaan alamat IP menunjukkan bahwa serangan tersebut dirancang khusus untuk menargetkan pengguna di India, Taiwan, Hong Kong, Australia, dan AS.

Evasive Panda diduga memanfaatkan Festival Kagyu Monlam tahunan yang diadakan di India pada akhir Januari dan Februari 2024 untuk menyasar komunitas Tibet di beberapa negara dan wilayah.

Eksekusi – bernama "certificate.exe" di Windows dan "certificate.pkg" untuk macOS – berfungsi sebagai landasan peluncuran untuk memuat implan Nightdoor, yang kemudian menyalahgunakan API Google Drive untuk perintah dan kontrol (C2).

Selain itu, kampanye ini terkenal karena menyusup ke situs web perusahaan perangkat lunak India ("monlamit[.]com") dan rantai pasokan untuk mendistribusikan penginstal perangkat lunak terjemahan bahasa Tibet yang telah di-trojanisasi untuk Windows dan MacOS. Kompromi tersebut terjadi pada September 2023.

"Para penyerang juga menyalahgunakan situs web yang sama dan situs berita Tibet bernama Tibetpost – tibetpost[.]net – untuk menampung muatan yang diperoleh dari unduhan berbahaya, termasuk dua backdoor berfitur lengkap untuk Windows dan sejumlah muatan yang tidak diketahui untuk macOS," para peneliti mencatat.

Penginstal Windows yang di trojan, memicu rangkaian serangan multi-tahap yang canggih untuk menjatuhkan MgBot atau Nightdoor, yang tanda-tandanya telah terdeteksi pada awal tahun 2020.

Pintu belakang dilengkapi dengan fitur untuk mengumpulkan informasi sistem, daftar aplikasi yang diinstal, dan proses yang berjalan; menelurkan shell terbalik, melakukan operasi file, dan menghapus instalan dirinya dari sistem yang terinfeksi.

“Para penyerang menggunakan beberapa pengunduh, dropper, dan backdoor, termasuk MgBot – yang digunakan secara eksklusif oleh Evasive Panda – dan Nightdoor: tambahan besar terbaru pada perangkat grup dan telah digunakan untuk menargetkan beberapa jaringan di Asia Timur,” kata ESET.[]