Μια κινεζική ομάδα ευθύνεται για την εξάπλωση της νέας παραλλαγής του malware MgBot Trojan σε ολόκληρη την Ινδία και το Χονγκ Κονγκ.
Σύμφωνα με τους ερευνητές του Malwarebytes, Hossein Jazi και Jérôme Segura, τα phishing έγγραφα που χρησιμοποιήθηκαν για την διασπορά του malware, που συσχετίζονται με τις εντάσεις στο Χονγκ Κονγκ και την Κίνα, δείχνουν ότι μια κινεζική ομάδα επιθέσεων στον κυβερνοχώρο – που δραστηριοποιείται από το 2014 – είναι πιθανό να βρίσκεται πίσω από την επίθεση.
Σε μια δημοσίευση σε ένα blog την Τρίτη, οι ερευνητές της κυβερνοασφάλειας δήλωσαν ότι ένα archive file που είχε μεταμφιεστεί ως επικοινωνία από την κυβέρνηση της Ινδίας εντοπίστηκε στις 2 Ιουλίου.
Το phishing έγγραφο διέσπειρε αρχικά μια παραλλαγή του Cobalt Strike, ενός νόμιμου εργαλείου penetration testing το οποίο μπορούν να καταχραστούν οι απειλητικοί παράγοντες. Ωστόσο, την ίδια ημέρα, το template άλλαξε για να μεταφέρει έναν loader για το MgBot, ένα Trojan Remote Access (RAT).
Στις 5 Ιουλίου, βρέθηκαν επιπρόσθετα phishing έγγραφα που είχαν “φορτωθεί” με το MgBot, στις δηλώσεις του πρωθυπουργού του Ηνωμένου Βασιλείου, Μπόρις Τζόνσον, σχετικά με την τρέχουσα πολιτική κατάσταση μεταξύ Κίνας και Χονγκ Κονγκ.
Πιστεύεται ότι η ομάδα χρησιμοποιεί την τακτική των spear phishing emails σε στοχευμένες επιθέσεις εναντίον πολιτικών οντοτήτων και ατόμων.
“Τα θέλγητρα που χρησιμοποιούνται σε αυτήν την εκστρατεία δείχνουν ότι ο απειλητικός παράγοντας μπορεί να στοχεύει την ινδική κυβέρνηση και άτομα στο Χονγκ Κονγκ, ή τουλάχιστον εκείνους που αντιτίθενται στον νέο νόμο περί ασφάλειας που εκδίδει η Κίνα”, λέει η ομάδα.
Εάν ένα θύμα κάνει λήψη του phishing εγγράφου και ενεργοποιήσει τις μακροεντολές, το payload αναπτύσσεται και εκτελείται, μεταμφιεσμένο ως εργαλείο Realtek Audio Manager. Το τελικό payload διασπείρεται μέσω της υπηρεσίας διαχείρισης εφαρμογών (AppMgmt) στα Windows.
Το MgBot μπορεί να συνδέσει έναν διακομιστή εντολών και ελέγχου (C2) για να μεταφέρει δεδομένα κλεμμένων συσκευών, να τραβήξει screenshot, να απενεργοποιήσει και να δημιουργήσει διεργασίες, να δημιουργήσει πόρους Mutex και να χρησιμοποιήσει μηχανισμούς persistence.
Οι συγγραφείς του malware προσπάθησαν επίσης να σταματήσουν την ανάλυση του κακόβουλου κώδικα μέσω της εφαρμογής μεθόδων anti-analysis και anti-virtualization. Αυτά περιλαμβάνουν την αυτο-τροποποίηση του κώδικα, ελέγχους για υπάρχοντα προϊόντα antivirus και σάρωση για εικονικά περιβάλλοντα όπως το VirtualBox. Εάν εντοπιστεί ένα sandbox, το MgBot Trojan δεν εκτελεί κακόβουλη δραστηριότητα.
Οι διακομιστές C2 και οι διευθύνσεις IP που συνδέονται με το κακόβουλο λογισμικό έχουν όλες σχεδόν ως βάση τους το Χονγκ Κονγκ. Η κωδικοποίηση σε απλά κινέζικα υποδηλώνει ότι το κακόβουλο λογισμικό είναι έργο ομιλητών της κινεζικής γλώσσας.
Κατά τη διάρκεια της εξέτασης του C2, το Malwarebytes βρήκε επίσης πολλά κακόβουλα APK Android που πιστεύεται ότι αποτελούν μέρος της εργαλειοθήκης του APT. Οι εφαρμογές περιέχουν ένα ενσωματωμένο Trojan ικανό να καταγράφει εικόνα και ήχο από smartphone, να εντοπίζει την τοποθεσία ενός τηλεφώνου αφού έχει κλέψει τα δεδομένα GPS, να κλέβει επαφές τηλεφώνου, αρχεία καταγραφής κλήσεων, μηνύματα SMS και το ιστορικό του ιστού, καθώς και να στέλνει μηνύματα SMS χωρίς άδεια.
Το Malwarebytes πιστεύει ότι η ομάδα που είναι υπεύθυνη για αυτό το κύμα επιθέσεων δεν συνεργάζεται με τις Rancor ή APT40, καθώς το APT χρησιμοποιούσε πάντα μια παραλλαγή του MgBot Trojan σε κάθε καμπάνια που έχει εντοπιστεί – τουλάχιστον, μέχρι τώρα.
“Λαμβάνοντας υπόψη τις συνεχιζόμενες εντάσεις μεταξύ της Ινδίας και της Κίνας, καθώς και τους νέους νόμους περί ασφάλειας στο Χονγκ Κονγκ, πιστεύουμε ότι αυτή η νέα εκστρατεία λειτουργεί από έναν hacker που χρηματοδοτείται από την Κινεζική κυβέρνηση”, λέει το Malwarebytes. “Λαμβάνοντας υπόψη αυτούς τους παράγοντες αποδίδουμε αυτήν την επίθεση με κάθε επιφύλαξη σε μια νέα κινεζική ομάδα APT.”
