Một nhóm tin tặc có liên quan đến Trung Quốc được gọi là Evasive Panda đã dàn dựng cả các cuộc tấn công vào lỗ nước và chuỗi cung ứng nhắm vào người dùng Tây Tạng ít nhất là kể từ tháng 9/2023.
Mục tiêu cuối cùng của các cuộc tấn công là cung cấp các trình tải xuống độc hại cho Windows và macOS triển khai một backdoor đã biết có tên MgBot và cấy ghép Windows chưa được ghi nhận trước đây được gọi là Nightdoor.
Những phát hiện này đến từ ESET, cho biết những kẻ tấn công đã xâm nhập ít nhất ba trang web để thực hiện các cuộc tấn công lỗ nước cũng như thỏa hiệp chuỗi cung ứng của một công ty phần mềm Tây Tạng. Hoạt động này được phát hiện vào tháng 1/2024.
Evasive Panda, hoạt động từ năm 2012 và còn được gọi là Bronze Highland và Daggerfly, trước đó đã được công ty an ninh mạng Slovakia tiết lộ vào tháng 4/2023 là đã nhắm mục tiêu vào một tổ chức phi chính phủ quốc tế (NGO) ở Trung Quốc đại lục bằng MgBot.
Một báo cáo khác từ Symantec thuộc sở hữu của Broadcom cùng thời điểm cho thấy đối thủ có liên quan đến một chiến dịch gián điệp mạng nhằm xâm nhập vào các nhà cung cấp dịch vụ viễn thông ở châu Phi ít nhất là kể từ tháng 11/2022.
Một loạt các cuộc tấn công mạng mới nhất đòi hỏi sự xâm nhập web chiến lược của trang web của Kagyu International Monlam Trust ("www.kagyumonlam [.] tổ chức").
"Những kẻ tấn công đã đặt một tập lệnh trong trang web xác minh địa chỉ IP của nạn nhân tiềm năng và nếu nó nằm trong một trong những phạm vi địa chỉ được nhắm mục tiêu, sẽ hiển thị một trang lỗi giả mạo để lôi kéo người dùng tải xuống chứng chỉ có tên 'sửa chữa'", các nhà nghiên cứu của ESET cho biết.
"Tệp này là một trình tải xuống độc hại triển khai giai đoạn tiếp theo trong chuỗi thỏa hiệp." Kiểm tra địa chỉ IP cho thấy cuộc tấn công được thiết kế đặc biệt để nhắm mục tiêu người dùng ở Ấn Độ, Đài Loan, Hồng Kông, Úc và Hoa Kỳ.
Người ta nghi ngờ rằng Evasive Panda đã lợi dụng Lễ hội Kagyu Monlam hàng năm diễn ra ở Ấn Độ vào cuối tháng 1 và tháng 2 năm 2024 để nhắm mục tiêu vào cộng đồng Tây Tạng ở một số quốc gia và vùng lãnh thổ.
Tệp thực thi - được đặt tên là "certificate.exe" trên Windows và "certificate.pkg" cho macOS - đóng vai trò là bệ phóng để tải bộ cấy Nightdoor, sau đó, lạm dụng API Google Drive cho lệnh và kiểm soát (C2).
Ngoài ra, chiến dịch này đáng chú ý vì đã xâm nhập vào trang web của một công ty phần mềm Ấn Độ ("monlamit[.] com") và chuỗi cung ứng để phân phối các trình cài đặt Windows và macOS trojan của phần mềm dịch tiếng Tây Tạng. Thỏa hiệp xảy ra vào tháng 9/2023.
Backdoor được trang bị các tính năng để thu thập thông tin hệ thống, danh sách các ứng dụng đã cài đặt và các quy trình đang chạy; Sinh ra một vỏ ngược, thực hiện các thao tác tệp và tự gỡ cài đặt khỏi hệ thống bị nhiễm.
"Những kẻ tấn công đã đưa ra một số trình tải xuống, trình nhỏ giọt và cửa hậu, bao gồm MgBot - được sử dụng độc quyền bởi Evasive Panda - và Nightdoor: bổ sung chính mới nhất cho bộ công cụ của nhóm và đã được sử dụng để nhắm mục tiêu vào một số mạng ở Đông Á", ESET cho biết.