Kelompok peretas China yang dilacak sebagai ‘Evasive Panda’ terlihat menggunakan versi baru backdoor Macma dan malware Nightdoor Windows.
Tim pemburu ancaman Symantec menemukan serangan spionase cyber menargetkan organisasi di Taiwan dan organisasi nonpemerintah Amerika di Tiongkok.
Dalam kasus terakhir, Evasive Panda (alias ‘Daggerfly’ atau ‘Bronze Highland’) mengeksploitasi kelemahan pada server HTTP Apache untuk mengirimkan versi baru dari kerangka kerja malware modular khas mereka, MgBot, yang menunjukkan upaya berkelanjutan untuk menyegarkan alat mereka dan menghindari deteksi.
Evasive Panda diyakini telah aktif setidaknya sejak tahun 2012, melakukan operasi mata-mata domestik dan internasional.
Terbaru, ESET menangkap aktivitas aneh di mana kelompok spionase cyber menggunakan Pembaruan perangkat lunak Tencent QQ untuk menginfeksi anggota LSM di China dengan malware MgBot.
Pelanggaran tersebut terjadi melalui rantai pasokan atau serangan musuh di tengah-tengah (AITM), dengan ketidakpastian seputar metode serangan yang digunakan menyoroti kecanggihan pelaku ancaman.
Macma terhubung dengan Evasive Panda
Macma adalah malware modular untuk macOS, pertama kali didokumentasikan oleh TAG Google pada tahun 2021 tetapi tidak pernah dikaitkan dengan kelompok ancaman tertentu.
Symantec mengatakan varian Macma terbaru menunjukkan pengembangan berkelanjutan di mana penciptanya membangun fungsionalitas yang ada.
Varian terbaru yang terlihat dalam dugaan serangan Evasive Panda berisi tambahan/perbaikan berikut:
- Logika baru untuk mengumpulkan daftar sistem berkas, dengan kode baru berdasarkan Tree, utilitas Linux/Unix yang tersedia untuk umum.
- Kode yang dimodifikasi dalam fitur AudioRecorderHelper
- Parameterisasi tambahan
- Pencatatan debug tambahan
- Penambahan file baru (param2.ini) untuk mengatur opsi untuk menyesuaikan ukuran tangkapan layar dan rasio aspek
Indikasi pertama adanya hubungan antara Macma dan Evasive Panda adalah bahwa dua varian terbaru terhubung ke alamat IP perintah dan kontrol (C2) yang juga digunakan oleh dropper MgBot.
Yang terpenting, Macma dan malware lain pada perangkat kelompok yang sama berisi kode dari pustaka atau kerangka kerja bersama tunggal, yang menyediakan primitif ancaman dan sinkronisasi, pemberitahuan dan pengatur waktu kejadian, pengumpulan data, dan abstraksi independen platform.
Sumber: Symantec
Evasive Panda telah menggunakan pustaka ini untuk membuat malware untuk Windows, macOS, Linux, dan Android. Karena tidak tersedia di repositori publik mana pun, Symantec yakin bahwa ini adalah kerangka kerja khusus yang digunakan secara eksklusif oleh kelompok ancaman.
Alat Panda Evasive lainnya
Malware lain yang menggunakan pustaka yang sama adalah Nightdoor (alias ‘NetMM’), backdoor Windows yang ESET dikaitkan ke Evasive Panda beberapa bulan lalu.
Dalam serangan yang dilacak Symantec, Nightdoor dikonfigurasi untuk terhubung ke OneDrive dan mengambil aplikasi DAEMON Tools Lite Helper yang sah (‘MeitUD.exe’) dan file DLL (‘Engine.dll’) yang membuat tugas terjadwal untuk persistensi dan memuat muatan akhir dalam memori.
Nightdoor menggunakan kode anti-VM dari proyek ‘al-khaser’ dan ‘cmd.exe’ untuk berinteraksi dengan C2 melalui pipa terbuka.
Mendukung eksekusi perintah untuk pembuatan profil jaringan dan sistem, seperti ‘ipconfig,’ ‘systeminfo,’ ‘tasklist,’ dan ‘netstat.’
Selain alat malware yang digunakan oleh Evasive Panda dalam serangan, Symantec juga melihat pelaku ancaman menyebarkan APK Android Trojan, alat intersepsi permintaan SMS dan DNS, serta malware yang dibuat untuk menargetkan sistem OS Solaris yang tidak dikenal.
