Grup peretasan APT Cina yang dikenal sebagai ‘Evasive Panda’ terkait dengan serangan misterius yang mendistribusikan malware MsgBot sebagai bagian dari pembaruan otomatis untuk aplikasi perpesanan Tencent QQ.
Evasive Panda adalah kelompok cyberespionage yang aktif setidaknya sejak 2012 yang sebelumnya menargetkan organisasi dan individu di China daratan, Hong Kong, Macao, Nigeria, dan berbagai negara di Asia Tenggara dan Timur.
Kampanye terbaru pelaku ancaman ditemukan oleh peneliti keamanan ESET pada Januari 2022, yang melaporkan melihat tanda-tanda bahwa operasi tersebut dimulai pada tahun 2020.
Sebagian besar korban kampanye adalah anggota LSM internasional (lembaga swadaya masyarakat) dan berlokasi di provinsi Gansu, Guangdong, dan Jiangsu, menunjukkan penargetan yang agak spesifik dan terfokus.
Rantai pasokan atau AITM?
laporan ESET bahwa muatan malware MsgBot berbahaya dikirim ke korban sebagai pembaruan perangkat lunak Tencent QQ dari URL dan alamat IP yang sah milik pengembang perangkat lunak.
Ini berarti ada dua kemungkinan skenario untuk serangan – serangan rantai pasokan atau serangan musuh di tengah (AITM).
Dalam skenario pertama, Evasive Panda harus menembus server distribusi pembaruan Tencent QQ untuk meng-trojanisasi file ‘QQUrlMgr.exe’ yang dikirim ke korban dengan kedok pembaruan perangkat lunak yang sah.
ESET memperhatikan bahwa versi trojan dari file updater mengambil malware dari URL hardcode (“update.browser.qq[.]com”) dan gunakan kunci dekripsi hardcode yang cocok dengan hash MD5 yang benar yang disediakan oleh server. Namun, keabsahan URL ini belum divalidasi, dan Tencent tidak menjawab pertanyaan ESET.
Selain itu, analis tidak dapat mengambil sampel data pembaruan XML dari server, yang akan mengungkap mekanisme pengiriman malware.
Dalam skenario AiTM, ESET melihat beberapa kesamaan mencolok dengan kampanye sebelumnya yang menggunakan taktik ini, termasuk salah satu APT LuoYu yang disorot Kaspersky di laporan tahun 2022.
Kampanye lama tersebut menggunakan malware ‘WinDealer’ yang menghasilkan alamat IP acak dari China Telecom untuk melakukan AITM atau intersepsi penyerang di samping. IP tersebut tampaknya berada pada rentang yang sama dengan yang mengirimkan malware MgBot dalam kampanye Evasive Panda.
Meskipun kedua skenario masuk akal berdasarkan kebetulan yang diamati dan penjelasan yang mungkin, ESET tidak dapat menemukan bukti yang mengarah ke arah yang jelas, dan banyak pertanyaan tetap tidak terjawab.
BleepingComputer menghubungi ESET dan Tencent dengan pertanyaan lebih lanjut tentang serangan itu.
Malware MgBot
Muatan MgBot yang dikirimkan dalam kampanye ini adalah pintu belakang C++ Windows yang telah digunakan Evasive Panda sejak awal operasinya pada tahun 2012.
ESET melaporkan bahwa penginstal, pintu belakang, fungsionalitas, dan rantai eksekusi malware sebagian besar tetap tidak berubah sejak saat itu Malwarebytes menganalisisnya pada tahun 2020.
MgBot menggunakan arsitektur modular untuk memperluas fungsinya, menerima plugin DLL dari C2 yang menjalankan fungsi khusus, termasuk:
- Keylogging pada aplikasi Tencent tertentu
- Mencuri file dari hard drive dan USB pen drive
- Menangkap teks yang disalin ke clipboard
- Menangkap aliran audio input dan output
- Mencuri kredensial dari klien email Outlook dan Foxmail
- Mencuri kredensial dari Chrome, Opera, Firefox, Foxmail, QQBrowser, FileZilla, WinSCP, dan lainnya
- Mencuri konten database Tencent QQ yang menyimpan riwayat pesan pengguna
- Mencuri informasi dari Tencent WeChat
- Mencuri cookie dari Firefox, Chrome, dan Edge
Sebagai kesimpulan, Evasive Panda APT ditemukan menargetkan pengguna di China, yang bertujuan untuk mencuri sebagian besar data dari aplikasi China, memanfaatkan metode yang tidak jelas untuk melakukan serangan rantai pasokan pada perangkat lunak Tencent QQ.
Ini adalah contoh karakteristik kemampuan tingkat tinggi grup yang melampaui metode infeksi standar seperti rekayasa sosial, phishing, keracunan SEO, dll., dan menyerukan kewaspadaan yang lebih besar dari target potensial.
