Скачали обновление Tencent QQ с 2022 года? Отлично, теперь хакеры читают всё: клавиши, буфер обмена, пароли браузера
NewsMakerИнтернет-провайдеры стали соучастниками: DNS-подмена, фальшивые обновления, полная невидимость.
Специалисты «Лаборатории Касперского» связали длительную и точечную кампанию кибершпионажа с китайской APT-группировкой Evasive Panda. В рамках этих атак злоумышленники подменяли ответы системы доменных имён (DNS), чтобы незаметно доставлять на компьютеры жертв собственный бэкдор MgBot. Активность фиксировалась с ноября 2022 года по ноябрь 2024-го и была направлена против отдельных целей в Турции, Китае и Индии.
Evasive Panda также известна под именами Bronze Highland, Daggerfly и StormBamboo. По оценкам исследователей, группа действует как минимум с 2012 года. В последних атаках она активно использовала приёмы adversary-in-the-middle (AitM), то есть вмешательство в сетевой трафик конкретных жертв с подменой легитимных ответов инфраструктуры на вредоносные.
Как отмечает исследователь Фатих Шенсой, схема заражения была многоступенчатой и тщательно выстроенной. Сначала в системе появлялся загрузчик, размещённый в заранее выбранных каталогах. Часть компонентов вредоносного ПО при этом не хранилась на машине жертвы постоянно, а подгружалась в зашифрованном виде с серверов атакующих — но только в ответ на DNS-запросы к определённым сайтам.
Подобный подход для Evasive Panda не нов. Ещё в апреле 2023 года специалисты ESET сообщали об атаке на международную неправительственную организацию в материковом Китае. Тогда злоумышленники либо вмешались в цепочку поставок , либо применили AitM-технику для распространения троянизированных версий популярных программ, включая Tencent QQ. В августе 2024 года компания Volexity описала другой инцидент: атакующие скомпрометировали неназванного интернет-провайдера и через подмену DNS-ответов рассылали вредоносные обновления выбранным жертвам.
Специалисты «Лаборатории Касперского» связали длительную и точечную кампанию кибершпионажа с китайской APT-группировкой Evasive Panda. В рамках этих атак злоумышленники подменяли ответы системы доменных имён (DNS), чтобы незаметно доставлять на компьютеры жертв собственный бэкдор MgBot. Активность фиксировалась с ноября 2022 года по ноябрь 2024-го и была направлена против отдельных целей в Турции, Китае и Индии.
Evasive Panda также известна под именами Bronze Highland, Daggerfly и StormBamboo. По оценкам исследователей, группа действует как минимум с 2012 года. В последних атаках она активно использовала приёмы adversary-in-the-middle (AitM), то есть вмешательство в сетевой трафик конкретных жертв с подменой легитимных ответов инфраструктуры на вредоносные.
Как отмечает исследователь Фатих Шенсой, схема заражения была многоступенчатой и тщательно выстроенной. Сначала в системе появлялся загрузчик, размещённый в заранее выбранных каталогах. Часть компонентов вредоносного ПО при этом не хранилась на машине жертвы постоянно, а подгружалась в зашифрованном виде с серверов атакующих — но только в ответ на DNS-запросы к определённым сайтам.
Подобный подход для Evasive Panda не нов. Ещё в апреле 2023 года специалисты ESET сообщали об атаке на международную неправительственную организацию в материковом Китае. Тогда злоумышленники либо вмешались в цепочку поставок , либо применили AitM-технику для распространения троянизированных версий популярных программ, включая Tencent QQ. В августе 2024 года компания Volexity описала другой инцидент: атакующие скомпрометировали неназванного интернет-провайдера и через подмену DNS-ответов рассылали вредоносные обновления выбранным жертвам.