Evasive Panda módszerei

Editors' Pick
Geronimo , , , , ,

A Kaspersky elemzése szerint az Evasive Panda (Bronze HighlandDaggerflyStormBamboo) APT-csoport 2022 novembere és 2024 novembere között rendkívül célzott, kifinomult kibertámadási kampányokat folytatott. A csoport, amely már 2012 óta aktív, folyamatosan fejleszti taktikáit és eszközeit, hogy minél hatékonyabban járhasson sikerrel különböző iparágakban. A 2025 júniusában közzétett kutatási eredmények szerint a támadók shellcode használtak, amelyet DPAPI és RC5 titkosítással védtek, valamint bevetették a MgBot nevű kártevőt is, amely lehetővé teszi a támadók számára, hogy hosszú távon ellenőrzés alatt tartsanak fertőzött rendszereket.

Az Evasive Panda főleg olyan célpontokat választ, amelyek stratégiai jelentőséggel bírnak, például kormányzati szervezeteket, nagyvállalatokat és kritikus infrastruktúrát. A támadási láncolat során a csoport gyakran használ ki olyan sebezhetőségeket, amelyek lehetővé teszik a rendszerbe való bejutást, majd a további terjedést a hálózaton belül. A DPAPI és RC5 titkosítás alkalmazása azt mutatja, hogy a támadók igyekeznek elkerülni a biztonsági megoldások észlelését, és minél tovább rejtve maradjanak a fertőzött rendszerekben.

A MgBot kártevő különösen veszélyes, mert képes a parancsok távoli végrehajtására, adatok exfiltálására, valamint a rendszeren belül további eszközök fertőzésére.

Az Evasive Panda korábban is alkalmazott hasonló technikákat, például watering hole attacks és ellátási lánc-támadásokat, hogy eljuttassa kártevőit a célpontokhoz. A csoport különösen aktív a kiberkémkedés területén, és gyakran használja a MgBot és Nightdoor nevű hátsó ajtókat érzékeny adatok gyűjtésére. A DNS-mérgezés mostani alkalmazása azt mutatja, hogy a csoport egyre inkább képes kihasználni az internet infrastruktúrájának sebezhetőségeit, például az ISP-szolgáltatók kompromittálását, hogy még hatékonyabban juttassák el kártevőiket a célpontokhoz.

Az Evasive Panda tevékenysége nemcsak technikai kihívásokat jelent a céges biztonsági csapatok számára, hanem stratégiai szinten is figyelmeztet arra, hogy az APT-csoportok egyre inkább képesek hosszú távú, célzott támadásokra, amelyek komoly károkat okozhatnak a gazdaságban és a társadalomban egyaránt. A kutatás szerint a csoport tevékenysége 2024 végéig folytatódott, és nem zárható ki, hogy új kampányok is indulhatnak a jövőben. Ezért a kiberbiztonsági vezetőknek és a döntéshozóknak is figyelemmel kell kísérniük az ilyen csoportok tevékenységét, és folyamatosan frissíteniük kell védelmi stratégiáikat a legújabb fenyegetésekkel szemben

FORRÁS

You May Also Like

Az államhoz kötődő zsarolóvírus-kampányok elmossák a kiberkémkedés és a kiberbűnözés közötti határokat

Yanac

Apple ID-k és Android eszközök a XLoader célkeresztjében

TrainedR

GhostContainer

Geronimo