Обновления Windows позволили злоумышленникам незаметно проникнуть на компьютер и шпионить за жертвой.
Исследователи безопасности из ИБ-компании ESET обнаружили , что китайская APT-группировка Evasive Panda перехватывает каналы обновления китайских приложений для доставки шпионских программ отдельным лицам в Китае и Нигерии.
По данным ESET, при выполнении автоматических обновлений легитимный программный компонент загружал установщики бэкдора MgBot с легитимных URL-адресов и IP-адресов. Модульное вредоносное ПО позволяет Evasive Panda шпионить за жертвами и расширять свои возможности на ходу.
Модульное вредоносное ПО MgBot может предоставить злоумышленникам значительный объем информации о скомпрометированной машине. Модули MgBot выполняют следующие действия:
- регистрация нажатий клавиш (кейлоггинг);
- перечисление каталогов Active Directory (Active Directory Enumeration).
Активность была приписана группе Evasive Panda (BRONZE HIGHLAND, Daggerfly), поскольку исследователи никогда не наблюдали других злоумышленников, использующих бэкдор MgBot. Атаки продолжаются уже 2 года , и их основной целью является кража учетных и конфиденциальных данных для шпионажа. Большинство жертв являются членами международных неправительственных организаций.
Использование каналов обновления ПО — это хитрый и умный метод обхода обнаружения традиционными средствами безопасности. После доставки вредоносного ПО через обновление оно может работать в фоновом режиме незамеченным, а киберпреступники могут извлечь конфиденциальную информацию с устройства жертвы.
По словам экспертов, вредоносное ПО MgBot было специально настроено для каждой жертвы, что свидетельствует о высокой степени сложности и изощрённости атак Evasive Panda. Такой тип вредоносного ПО трудно обнаружить, а также сложно построить надёжную защиту от него, поэтому для отдельных лиц и организаций крайне важно применять рекомендуемые меры кибербезопасности.