Le groupe de piratage chinois connu sous le nom de « Panda évasif » a été repéré en utilisant de nouvelles versions de la porte dérobée Macma et du malware Windows Nightdoor.
L’équipe de recherche de menaces de Symantec a repéré les attaques de cyberespionnage ciblant des organisations à Taiwan et une organisation non gouvernementale américaine en Chine.
Dans ce dernier cas, Evasive Panda (alias « Daggerfly » ou « Bronze Highland ») a exploité une faille dans un serveur HTTP Apache pour fournir une nouvelle version de son framework de logiciels malveillants modulaire signature, MgBot, indiquant un effort continu pour actualiser leurs outils et échapper à la détection.
Evasive Panda serait actif depuis au moins 2012, menant des opérations d’espionnage nationales et internationales.
Plus récemment, ESET a attrapé une activité étrange où le groupe de cyberespionnage a utilisé les mises à jour logicielles de Tencent QQ pour infecter des membres d’ONG en Chine avec le logiciel malveillant MgBot.
Les violations ont été réalisées par le biais d’une attaque de la chaîne d’approvisionnement ou d’un adversaire au milieu (AITM), l’incertitude entourant la méthode d’attaque exacte utilisée mettant en évidence la sophistication de l’acteur de la menace.
Macma lié à un Panda évasif
Macma est un malware modulaire pour macOS, documenté pour la première fois par le TAG de Google en 2021 mais jamais attribué à un groupe de menaces spécifique.
Symantec affirme que les variantes récentes de Macma montrent un développement continu où ses créateurs s’appuient sur les fonctionnalités existantes.
Les dernières variantes observées dans les attaques de Panda évasives présumées contiennent les ajouts/améliorations suivants:
- Nouvelle logique pour collecter la liste système d’un fichier, avec le nouveau code basé sur Tree, un utilitaire Linux/Unix accessible au public.
- Code modifié dans la fonction d’aide de l’enregistreur audio
- Paramétrage supplémentaire
- Journalisation de débogage supplémentaire
- Ajout d’un nouveau fichier (param2.ini) pour définir les options permettant d’ajuster la taille et le format de la capture d’écran
La première indication d’un lien entre Macma et Evasive Panda est que deux des dernières variantes se connectent à une adresse IP de commande et de contrôle (C2) également utilisée par un compte-gouttes MgBot.
Plus important encore, Macma et les autres logiciels malveillants de la boîte à outils du même groupe contiennent du code provenant d’une seule bibliothèque ou infrastructure partagée, qui fournit des primitives de menace et de synchronisation, des notifications et des minuteries d’événements, un marshaling des données et des abstractions indépendantes de la plate-forme.
Evasive Panda a utilisé cette bibliothèque pour créer des logiciels malveillants pour Windows, macOS, Linux et Android. Comme il n’est disponible dans aucun référentiel public, Symantec pense qu’il s’agit d’un framework personnalisé utilisé exclusivement par le groupe de menaces.
Autres outils évasifs Panda
Un autre malware qui utilise la même bibliothèque est Nightdoor (alias ‘NetMM’), une porte dérobée Windows qu’ESET a attribuée à Evasive Panda il y a quelques mois.
Dans les attaques suivies par Symantec, Nightdoor a été configuré pour se connecter à OneDrive et récupérer une application d’assistance légitime DAEMON Tools Lite (« MeitUD.exe’) et un fichier DLL (‘Moteur.dll’) qui crée des tâches planifiées pour la persistance et charge la charge utile finale en mémoire.
Nightdoor utilise un code anti-VM du projet ‘al-khaser’ et ‘ cmd.exe ‘ pour interagir avec C2 via des tuyaux ouverts.
Il prend en charge l’exécution de commandes pour le profilage du réseau et du système, telles que « ipconfig », « systeminfo », « liste de tâches » et « netstat ».’
En plus des outils malveillants utilisés par Evasive Panda dans les attaques, Symantec a également vu des acteurs de la menace déployer des APK Android trojanisés, des outils d’interception de requêtes SMS et DNS et des logiciels malveillants conçus pour cibler les systèmes d’exploitation Solaris obscurs.