中国网络间谍利用合法软体更新散播恶意软体

文章重点

• 中国的先进持续威胁行动Evasive Panda目标为国际非政府组织成员。
• 使用MgBot后门，透过合法的中国软体更新进行传播。
• 可能对腾讯QQ应用的更新伺服器展开供应链攻击。
• MgBot可窃取击键、录制音讯以及提取应用程序凭证和浏览器数据。

根据 ，中国的一个先进持续威胁组织EvasivePanda（又名Daggerfly和BronzeHighland）已经针对国际非政府组织的成员进行攻击，使用的工具是MgBot后门，此后门透过合法的中国软体更新进行散播。ESET的报告指出，EvasivePanda可能对腾讯QQ应用的更新伺服器进行了供应链攻击，或者通过中间人攻击来促进MgBot后门的传递。

攻击对象分析

以下是MgBot后门针对的腾讯应用列表：

MgBot的插件不仅可以窃取用户的击键和录制音频内容，还具备提取应用程序凭证、剪贴板内容和浏览器Cookies的能力。ESET表示：「通过合法或非法手段接入ISP的骨干基础设施，EvasivePanda可以拦截并回复通过HTTP发出的更新请求，甚至还可以即时修改数据包。」