Le groupe de hackers chinois connu sous le nom d’« Evasive Panda » a été observé en train d’utiliser de nouvelles versions du logiciel malveillant Macma et de la porte dérobée Nightdoor pour Windows.
Une équipe de recherche sur les menaces de Symantec a détecté des attaques de cyberespionnage visant des organisations à Taïwan ainsi qu’une ONG américaine en Chine.
Dans le cas de l’ONG, Evasive Panda (également appelé « Daggerfly » ou « Bronze Highland ») a exploité une vulnérabilité dans un serveur HTTP Apache pour déployer une version mise à jour de leur cadre de malware modulaire, MgBot, ce qui témoigne de leur volonté constante de renouveler leurs outils et d’échapper à la détection.
On pense qu’Evasive Panda est actif depuis au moins 2012, menant des opérations d’espionnage tant au niveau national qu’international.
Récemment, ESET a détecté une activité inhabituelle où le groupe de cyberespionnage a utilisé des mises à jour du logiciel Tencent QQ pour infecter des membres d’ONG en Chine avec le malware MgBot.
Les violations ont été réalisées par le biais d’une attaque de chaîne d’approvisionnement ou d’un adversaire au milieu (AITM), soulignant la complexité de la méthode d’attaque utilisée et la sophistication de l’acteur menaçant.
Liens entre Macma et Evasive Panda
Macma est un malware modulaire conçu pour macOS, documenté pour la première fois par Google TAG en 2021, mais jamais attribué à un groupe de menaces spécifique.
Symantec indique que les variantes récentes de Macma montrent un développement continu, les créateurs améliorant les fonctionnalités existantes.
Les dernières variantes observées dans les attaques présumées d’Evasive Panda incluent les ajouts et améliorations suivants :
- Une nouvelle logique pour collecter la liste des fichiers système, avec un code basé sur Tree, un utilitaire Linux/Unix disponible publiquement.
- Un code modifié dans la fonctionnalité AudioRecorderHelper.
- Une paramétrisation supplémentaire.
- Un journal de débogage additionnel.
- Un nouveau fichier (param2.ini) pour définir des options permettant d’ajuster la taille et le rapport d’aspect des captures d’écran.
Le premier indice d’un lien entre Macma et Evasive Panda est que deux des dernières variantes se connectent à une adresse IP de commande et de contrôle (C2) également utilisée par un dropper MgBot.
Il est crucial de noter que Macma et d’autres malwares de la même boîte à outils contiennent du code provenant d’une bibliothèque ou d’un cadre partagé unique, fournissant des primitives de menace et de synchronisation, des notifications d’événements et des minuteries, ainsi que des abstractions indépendantes de la plateforme.
Source : Symantec
Evasive Panda a utilisé cette bibliothèque pour développer des malwares pour Windows, macOS, Linux et Android. Étant donné qu’elle n’est pas disponible dans des dépôts publics, Symantec pense qu’il s’agit d’un cadre personnalisé utilisé exclusivement par ce groupe de menaces.
Autres outils d’Evasive Panda
Un autre malware utilisant la même bibliothèque est Nightdoor (également connu sous le nom de « NetMM »), une porte dérobée pour Windows que ESET a attribuée à Evasive Panda il y a quelques mois.
Dans les attaques suivies par Symantec, Nightdoor était configuré pour se connecter à OneDrive et récupérer une application légitime DAEMON Tools Lite Helper (« MeitUD.exe ») ainsi qu’un fichier DLL (« Engine.dll ») qui crée des tâches planifiées pour assurer la persistance et charge la charge utile finale en mémoire.
Nightdoor utilise un code anti-VM provenant du projet « al-khaser » et « cmd.exe » pour interagir avec le C2 via des pipes ouverts.
Il prend en charge l’exécution de commandes pour le profilage réseau et système, telles que « ipconfig », « systeminfo », « tasklist » et « netstat ».
En plus des outils malveillants utilisés par Evasive Panda dans ses attaques, Symantec a également observé que les acteurs de la menace déployaient des APK Android trojanisés, des outils d’interception de SMS et de requêtes DNS, ainsi que des malwares ciblant des systèmes Solaris obscurs.
