网络安全警报：ESET揭露Evasive Panda黑客组织通过QQ升级服务器发起攻击

大家好，如果您还对网络安全警报：ESET揭露Evasive Panda黑客组织通过QQ升级服务器发起攻击不太了解，没有关系，今天就由本站为大家分享网络安全警报：ESET揭露Evasive Panda黑客组织通过QQ升级服务器发起攻击的知识，包括的问题都会给大家分析到，还望可以解决大家的问题，下面我们就开始吧！

文中说，2022年1月，ESET发现用户在更新QQ应用的时候，会安装Evasive Panda APT组织的MgBot后门程序，在随后的调查中，ESET称该恶意活动可以追溯到2020年。中国用户是该次恶意活动的主要目标，从2020年开始一直持续到2021，受害目标用户位于甘肃、广东和江苏省，如下图所示：大多数受害者是一家国际非政府组织的成员，该组织在上述两个省份开展活动。另外一名受害者也被发现位于尼日利亚。

Evasive Panda API活动受害者位置

ESET根据MgBot后门判断攻击源，据称该后门程序于2014年被公开，此后几乎没有任何演变，且没有被其他APT组织使用过。同时，本次恶意活动中，ESET称受害者主机只会安装MgBot后门及其插件，因此ESET认定本次恶意活动一定来自Evasive Panda。

ESET称本次恶意活动利用QQ更新域名服务器（update.browser.qq.com），域名对应IP也是用户系统当时域名服务器解析的IP地址，下载的URL对应的软件名称都是QQ的应用。

为什么会出现利用上述合法更新域名服务器进行攻击的情况呢，ESET认为有两种情况：

一是供应链攻击，攻击者控制了QQ更新服务器，当然用户更新软件的时候，服务器发现是自己设定的攻击目标，就发送恶意攻击数据，将用户的更新过程引向其控制的恶意服务器，如果是其他非攻击目标用户的升级，则正常执行QQ更新，如下图所示：

对QQ实施供应链攻击的假设

二是中间人攻击。

ESET称另外一种可能是该APT组织通过合法或非法手段控制了ISP骨干基础设备（如路由器），将能拦截并恢复HTTP更新请求，从而动态修改数据包，达成中间人攻击。

最后，ESET称他们还分析了MgBot后门插件，发现其中大多数插件旨在通过窃取凭据和信息来监视用户。

二、报告解读和分析

1、ESET公司发布的本次APT恶意活动报告，文中虽然分析了部分技术细节，但是从跟上我们发现，其还是带有一种明显的主观恶意，想将阅读者带向“这个是中国政府支持的APT组织的活动”，比如文中点名指出某受害用户是国际非政府组织的成员，同时，将锅甩个所谓的“Evasive Panda”组织，赤裸裸的对我的指责意图。殊不知，攻击者攻击的目标范围可能是不同国家和地区、不同行业、不同组织机构的，为什么文中单单指出特定受害者是所谓的“国际非政府组织”？

2、技术角度分析没有问题，如果情况属实的话，基本可以断定可能是供应链攻击或者网络中间人攻击。但是，能实现这种攻击的组织或背后的国家比比皆是，尤其我们知道在现实世界，“漂亮国”是名副其实的黑客帝国、监听帝国、窃密帝国，其惯用的手段就是：贼喊捉贼，当今世界最大的APT组织是美国NSA。

3、作为一家专业的反病毒公司和网络安全公司，ESET技术分析的专业性还是要尊重的，我们质疑的是其所谓的西方欧美国家的“政治正确”，不分青红皂白的一味通过批判中国来满足自身所谓的“优越感”，尤其是不能仅仅通过一些所谓的技术判断和历史情况，就将锅甩给我国。当然，话说回来，本次报告中ESET公司终还有一点要赞赏的，图中引用的是中国地图，其中台湾省紧紧面向祖国母亲，盼望早日实现国家统一，实现中华民族的伟大复兴。