卡巴斯基發現Evasive Panda針對中土印等國發起新型針對性攻擊

卡巴斯基發布了關于Evasive Panda威脅組織發起的一場復雜網絡間諜活動的最新調查結果。攻擊者通過將惡意軟件注入合法的系統進程中來執行代碼，并在受害系統中保持隱蔽。該攻擊行動從2022年11月持續活躍到2024年11月，已侵入土耳其、中國和印度的多個系統，部分感染甚至持續了一年以上。這一發現揭示了該組織不斷演變的攻擊手法及其對目標網絡實施長期滲透的策略。

此次攻擊采用了一種欺詐性誘餌，將惡意軟件偽裝成流行并合法的Windows應用程序的軟件更新，涉及搜狐影音、愛奇藝視頻、IObit Smart Defrag 和騰訊 QQ。這些假冒的更新程序旨在與受信任的軟件完美融合，使攻擊者能夠啟動惡意活動而不被立即察覺。攻擊者還使用了 DNS投毒技術，從其服務器分發惡意軟件組件，使其看起來像是存儲在某個知名的合法網站上。

這些攻擊的核心是擁有十年歷史的 MgBot 植入程序。這是Evasive Panda至少自 2012 年以來一直用于網絡間諜活動的模塊化惡意軟件框架，其功能插件涵蓋了鍵盤記錄、文件竊取和命令執行等任務。在2022至2024年的攻擊中，MgBot更新了包括多個命令與控制（C2）服務器在內的新配置，以確保入侵的冗余性并維持長期訪問權限。

“這次的攻擊活動充分體現了攻擊者在規避防御方面的努力，同時他們還重新利用了如 MgBot 這樣已被驗證有效的工具。在這場長達兩年的攻擊活動中，他們展示了一種資源密集且持久化的攻擊方式，利用用戶對日常應用程序的信任，在關鍵系統中維持立足點。值得注意的是，他們采用了自適應的部署策略，在服務器端根據特定的操作系統環境定制植入物，從而實現了高度針對性的間諜活動。組織需要采取積極主動的、情報驅動的安全措施來對抗這種持久的攻擊活動，”卡巴斯基安全專家Fatih Sensoy評論說。

卡巴斯基大中華區總經理鄭啟良表示：“Evasive Panda發起的此次攻擊活動，彰顯了他們不遺余力地追求隱蔽性和長期滲透的行徑。他們采用自適應策略，利用受信任的應用程序并不斷改進MgBot，構成了重大威脅。組織和個人用戶必須采取積極主動、以情報為主導的安全措施，以應對如此頑固的對手。”

更多詳情請參閱Securelist。

卡巴斯基呼吁各組織和個人用戶對此類及類似的威脅保持高度警惕。根據調查結果，卡巴斯基給出以下安全建議：

·組織應強制對軟件更新實施多因素認證，并使用端點檢測工具仔細檢查更新包是否存在異常，例如非預期的文件存放路徑，或與已知惡意模板相似的代碼特征。

·組織應加強對中間人（AitM）攻擊指標的網絡監控：定期審計DNS響應和網絡流量，檢查是否存在投毒或攔截跡象。

·組織還應針對用戶進行培訓，使其能夠識別偽裝成信任廠商更新程序的釣魚誘餌。

·個人用戶應通過可靠防護解決方案主動進行惡意軟件掃描。

關于全球研究與分析團隊

全球研究與分析團隊（GReAT）成立于 2008 年，是卡巴斯基的核心部門，負責揭露 APT、網絡間諜活動、重大惡意軟件、勒索軟件和全球地下網絡犯罪趨勢。目前，GReAT 由 40 多名專家組成，他們在歐洲、俄羅斯、美洲、亞洲和中東等全球范圍內工作。這些才華橫溢的安全專業人員為公司的反惡意軟件研究和創新發揮著領導作用，他們以無與倫比的專業知識、熱情和好奇心致力于發現和分析網絡威脅。

關于卡巴斯基

卡巴斯基是一家成立于1997年的全球網絡安全和數字隱私公司。迄今為止，卡巴斯基已保護超過十億臺設備免受新興網絡威脅和針對性攻擊。卡巴斯基不斷將深度威脅情報和安全技術轉化成創新的安全解決方案和服務，為全球的個人用戶、企業、關鍵基礎設施和政府提供安全保護。該公司全面的安全產品組合包括領先的個人設備數字生活保護、面向企業的專業安全產品和服務，以及用于對抗復雜且不斷演變的數字威脅的網絡免疫解決方案。我們為數百萬個人用戶及近20萬企業客戶守護他們最珍視的數字資產。