卡巴斯基发现Evasive Panda针对中土印等国发起新型针对性攻击

卡巴斯基发布了关于Evasive Panda威胁组织发起的一场复杂网络间谍活动的最新调查结果。攻击者通过将恶意软件注入合法的系统进程中来执行代码，并在受害系统中保持隐蔽。该攻击行动从2022年11月持续活跃到2024年11月，已侵入土耳其、中国和印度的多个系统，部分感染甚至持续了一年以上。这一发现揭示了该组织不断演变的攻击手法及其对目标网络实施长期渗透的策略。

此次攻击采用了一种欺诈性诱饵，将恶意软件伪装成流行并合法的Windows应用程序的软件更新，涉及搜狐影音、爱奇艺视频、IObit Smart Defrag 和腾讯 QQ。这些假冒的更新程序旨在与受信任的软件完美融合，使攻击者能够启动恶意活动而不被立即察觉。攻击者还使用了 DNS投毒技术，从其服务器分发恶意软件组件，使其看起来像是存储在某个知名的合法网站上。

这些攻击的核心是拥有十年历史的 MgBot 植入程序。这是Evasive Panda至少自 2012 年以来一直用于网络间谍活动的模块化恶意软件框架，其功能插件涵盖了键盘记录、文件窃取和命令执行等任务。在2022至2024年的攻击中，MgBot更新了包括多个命令与控制（C2）服务器在内的新配置，以确保入侵的冗余性并维持长期访问权限。

“这次的攻击活动充分体现了攻击者在规避防御方面的努力，同时他们还重新利用了如 MgBot 这样已被验证有效的工具。在这场长达两年的攻击活动中，他们展示了一种资源密集且持久化的攻击方式，利用用户对日常应用程序的信任，在关键系统中维持立足点。值得注意的是，他们采用了自适应的部署策略，在服务器端根据特定的操作系统环境定制植入物，从而实现了高度针对性的间谍活动。组织需要采取积极主动的、情报驱动的安全措施来对抗这种持久的攻击活动，”卡巴斯基安全专家Fatih Sensoy评论说。

卡巴斯基大中华区总经理郑启良表示：“Evasive Panda发起的此次攻击活动，彰显了他们不遗余力地追求隐蔽性和长期渗透的行径。他们采用自适应策略，利用受信任的应用程序并不断改进MgBot，构成了重大威胁。组织和个人用户必须采取积极主动、以情报为主导的安全措施，以应对如此顽固的对手。”

更多详情请参阅Securelist。

卡巴斯基呼吁各组织和个人用户对此类及类似的威胁保持高度警惕。根据调查结果，卡巴斯基给出以下安全建议：

·组织应强制对软件更新实施多因素认证，并使用端点检测工具仔细检查更新包是否存在异常，例如非预期的文件存放路径，或与已知恶意模板相似的代码特征。

·组织应加强对中间人（AitM）攻击指标的网络监控：定期审计DNS响应和网络流量，检查是否存在投毒或拦截迹象。

·组织还应针对用户进行培训，使其能够识别伪装成信任厂商更新程序的钓鱼诱饵。

·个人用户应通过可靠防护解决方案主动进行恶意软件扫描。

关于全球研究与分析团队

全球研究与分析团队（GReAT）成立于 2008 年，是卡巴斯基的核心部门，负责揭露 APT、网络间谍活动、重大恶意软件、勒索软件和全球地下网络犯罪趋势。目前，GReAT 由 40 多名专家组成，他们在欧洲、俄罗斯、美洲、亚洲和中东等全球范围内工作。这些才华横溢的安全专业人员为公司的反恶意软件研究和创新发挥着领导作用，他们以无与伦比的专业知识、热情和好奇心致力于发现和分析网络威胁。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止，卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务，为全球的个人用户、企业、关键基础设施和政府提供安全保护。该公司全面的安全产品组合包括领先的个人设备数字生活保护、面向企业的专业安全产品和服务，以及用于对抗复杂且不断演变的数字威胁的网络免疫解决方案。我们为数百万个人用户及近20万企业客户守护他们最珍视的数字资产。