باب خلفي لـ MgBot
نُسبت عملية تهديد متقدم مستمر (APT) متطورة، مدعومة من الصين، إلى حملة تجسس إلكتروني طويلة الأمد استغلت بنية نظام أسماء النطاقات (DNS) لزرع برمجية MgBot الخبيثة. ركزت الحملة على ضحايا تم اختيارهم بعناية في تركيا والصين والهند، واستمرت نشطة من نوفمبر 2022 حتى نوفمبر 2024.
جدول المحتويات
الخصم الذي يقف وراء العملية
تم ربط هذا النشاط بالجهة الفاعلة المعروفة باسم "إيفاسيف باندا"، والتي تُعرف أيضاً بأسماء "برونز هايلاند" و"داغر فلاي" و"ستورم بامبو". وقد تم تقييم هذه المجموعة على أنها تعمل منذ عام 2012 على الأقل، وتشتهر بعمليات الاختراق شديدة الاستهداف بدلاً من الهجمات الانتهازية واسعة النطاق.
الخصم في المنتصف كتكتيك أساسي
كان جوهر الحملة استخدام تقنيات "الخصم في المنتصف" (AitM). تلاعب المهاجمون باستجابات نظام أسماء النطاقات (DNS) بحيث يتم توجيه الضحايا خلسةً إلى بنية تحتية تحت سيطرتهم. وُضعت برامج تحميل البرمجيات الخبيثة في مواقع ملفات محددة، بينما استضافت خوادم يتحكم بها المهاجمون مكونات مشفرة، ولم يتم تسليمها إلا استجابةً لاستعلامات DNS محددة مرتبطة بمواقع ويب شرعية.
نمط إساءة استخدام تسميم نظام أسماء النطاقات (DNS)
هذه الحملة ليست حالة معزولة. فقد أظهرت مجموعة "إيفاسيف باندا" مرارًا وتكرارًا براعتها في تسميم نظام أسماء النطاقات (DNS). وأشارت أبحاث سابقة إلى تكتيكات مماثلة في أبريل 2023، عندما يُرجح أن المجموعة استغلت إما اختراقًا لسلسلة التوريد أو هجومًا من نوع "الذكاء الاصطناعي في إدارة الأصول" (AitM) لتوزيع نسخ مُخترقة من برامج موثوقة، مثل برنامج "تينسنت كيو كيو" (Tencent QQ)، ضد منظمة غير حكومية دولية في الصين.
في أغسطس 2024، كشفت تقارير أخرى أن المجموعة قد اخترقت مزود خدمة إنترنت لم يُكشف عن اسمه، مستغلة استجابات نظام أسماء النطاقات المسمومة لتوزيع تحديثات البرامج الضارة على أهداف مختارة.
نظام بيئي أوسع من الجهات الفاعلة في مجال الذكاء الاصطناعي والتمويل المتحالفة مع الصين
يُعدّ برنامج Evasive Panda جزءًا من مشهد أوسع لمجموعات التهديد المتحالفة مع الصين، والتي تعتمد على التسميم القائم على تقنية AitM لنشر البرمجيات الخبيثة ونقلها داخل الشبكات. وقد حدد المحللون ما لا يقل عن عشر مجموعات نشطة تستخدم أساليب مماثلة، مما يؤكد أن التلاعب بنظام أسماء النطاقات (DNS) أصبح أسلوبًا مفضلًا ضمن هذا النظام البيئي.
تحديثات البرامج المُسلّحة كطُعم
في عمليات الاختراق الموثقة، تم استدراج الضحايا بتحديثات مزيفة تتنكر في هيئة برامج شرعية تابعة لجهات خارجية. ومن أبرز هذه التحديثات، تحديثات لتطبيق SohuVA، وهو تطبيق لبث الفيديو تابع لشركة Sohu الصينية للتكنولوجيا. ويبدو أن التحديث صادر من النطاق الشرعي p2p.hd.sohu.com[.]cn، مما يشير بقوة إلى استخدام تقنية تسميم نظام أسماء النطاقات (DNS) لإعادة توجيه حركة المرور إلى خادم خبيث أثناء محاولة التطبيق تحديث الملفات التنفيذية في مجلده الافتراضي ضمن appdata\roaming\shapp\7.0.18.0\package.
لاحظ الباحثون أيضًا حملات موازية تستغل برامج التحديث المزيفة لتطبيقات Baidu's iQIYI Video و IObit Smart Defrag و Tencent QQ.
تسليم الحمولة على مراحل متعددة عبر النطاقات الموثوقة
أدى نجاح تنفيذ التحديث الوهمي إلى نشر برنامج تحميل أولي قام بتشغيل شيفرة خبيثة. استرجعت هذه الشيفرة الخبيثة حمولة مشفرة من المرحلة الثانية مُتنكرة في صورة PNG، وذلك مرة أخرى عبر تسميم نظام أسماء النطاقات (DNS)، وهذه المرة استغلت النطاق الشرعي dictionary.com.
تلاعب المهاجمون بنظام تحليل أسماء النطاقات (DNS) بحيث يتم توجيه موقع dictionary.com إلى عناوين IP يتحكم بها المهاجمون، ويتم تحديد هذه العناوين بشكل انتقائي بناءً على الموقع الجغرافي للضحية ومزود خدمة الإنترنت الخاص بها. تضمن طلب HTTP المستخدم لجلب هذه الحمولة إصدار نظام التشغيل Windows الخاص بالضحية، مما مكّن المهاجمين على الأرجح من تخصيص الإجراءات اللاحقة لتناسب إصدارات محددة من نظام التشغيل. يعكس هذا الاستهداف الانتقائي استخدام المجموعة سابقًا لهجمات "التسريب"، بما في ذلك توزيع برمجية خبيثة لنظام macOS تُعرف باسم MACMA.
كيف تم تحقيق تسميم نظام أسماء النطاقات (DNS)
على الرغم من أن الطريقة الدقيقة المستخدمة لتسميم استجابات نظام أسماء النطاقات (DNS) لا تزال غير مؤكدة، إلا أن المحققين يشتبهون في احتمالين رئيسيين:
- اختراق انتقائي لمزودي خدمة الإنترنت الضحايا، والذي قد يشمل زرع برامج خبيثة على الأجهزة الطرفية للتلاعب بحركة مرور نظام أسماء النطاقات (DNS).
- اختراق مباشر لأجهزة التوجيه أو جدران الحماية داخل بيئات الضحايا لتغيير استجابات نظام أسماء النطاقات (DNS) محليًا.
سلسلة تحميل متطورة وتشفير مخصص
تتسم عملية توصيل البرمجيات الخبيثة في المرحلة الثانية بالتعقيد المتعمد. يقوم الكود الأولي بفك تشفير وتنفيذ حمولة خاصة بالضحية، وهو أسلوب يُعتقد أنه يقلل من اكتشافها من خلال إنشاء ملف مشفر فريد لكل هدف.
يعتمد مُحمِّل ثانوي، مُتخفٍّ في هيئة libpython2.4.dll، على تحميل ملف python.exe قديم مُعاد تسميته. بمجرد تشغيله، يسترجع هذا المُحمِّل حمولة المرحلة التالية ويفك تشفيرها من خلال قراءة الملف الموجود في المسار C:\ProgramData\Microsoft\eHome\perf.dat. يحتوي هذا الملف على برمجيات خبيثة تم تشفيرها أولًا باستخدام عملية XOR، ثم فك تشفيرها، وأخيرًا إعادة تشفيرها باستخدام مزيج مُخصَّص من واجهة برمجة تطبيقات حماية البيانات (DPAPI) من مايكروسوفت وخوارزمية RC5. يضمن هذا التصميم إمكانية فك تشفير الحمولة فقط على نظام الضحية الأصلي، مما يُعقِّد عملية اعتراضها وتحليلها دون اتصال بالإنترنت بشكل كبير.
إم جي بوت: زرعة خفية وذات قدرات عالية
بعد فك التشفير، يتم حقن الحمولة في عملية svchost.exe شرعية، لتكشف عن نفسها كنسخة معدلة من باب MgBot الخلفي. يدعم هذا الزرع المعياري مجموعة واسعة من وظائف التجسس، بما في ذلك:
- جمع الملفات واستخراجها
- تسجيل ضغطات المفاتيح وجمع البيانات من الحافظة
- تسجيل صوتي
- سرقة بيانات الاعتماد المخزنة في المتصفح
تُمكّن هذه القدرات المهاجمين من الحفاظ على وصول سري طويل الأمد إلى الأنظمة المخترقة.
تهديد متطور ومستمر
تُبرز هذه الحملة التطور المستمر والبراعة التقنية لمجموعة "إيفاسيف باندا". فمن خلال الجمع بين تسميم نظام أسماء النطاقات (DNS)، وانتحال هوية العلامات التجارية الموثوقة، وبرامج التحميل متعددة الطبقات، والتشفير المرتبط بالنظام، تُظهر المجموعة قدرةً واضحةً على تجاوز الدفاعات مع الحفاظ على وصول دائم إلى أهداف بالغة الأهمية. وتؤكد هذه العملية على ضرورة تعزيز أمن نظام أسماء النطاقات، والتحقق من صحة سلسلة التوريد، ومراقبة آليات التحديث في البيئات الحساسة.
