Оферта за отстъпка за множество лицензи
База данни за заплахи Задни врати MgBot Backdoor

MgBot Backdoor

До Mezo през Задни врати, Усъвършенствана постоянна заплаха (APT)г
Превод на:

Сложна, съобразена с Китай операция за борба с усъвършенствани постоянни заплахи (APT) се приписва на дългогодишна кампания за кибершпионаж, която е злоупотребила с инфраструктурата на системата за имена на домейни (DNS), за да достави задната вратичка MgBot. Кампанията е била фокусирана върху внимателно подбрани жертви в Турция, Китай и Индия и е останала активна от ноември 2022 г. до ноември 2024 г.

Противникът зад операцията

Активността е свързана с хакерската група, широко известна като Evasive Panda, проследявана също под имената Bronze Highland, Daggerfly и StormBamboo. Оценява се, че тази група действа поне от 2012 г. и е известна с високо целенасочени прониквания, а не с широкомащабни, опортюнистични атаки.

Противникът по средата като основна тактика

В основата на кампанията беше използването на техники „противник по средата“ (AitM). Нападателите манипулираха DNS отговорите, така че жертвите да бъдат пренасочвани тихомълком към инфраструктура под техен контрол. Програмите за зареждане на зловреден софтуер бяха поставени на точно определени файлови местоположения, докато криптираните компоненти бяха хоствани на контролирани от нападателя сървъри и се доставяха само в отговор на специфични DNS заявки, свързани с легитимни уебсайтове.

Модел на злоупотреба с DNS отравяне

Тази кампания не е изолиран случай. Evasive Panda многократно е демонстрирала експертиза в отравянето на DNS. По-ранни изследвания откроиха подобни тактики през април 2023 г., когато групата вероятно е използвала или компрометиране на веригата за доставки, или AitM атака, за да разпространява троянски версии на надежден софтуер, като Tencent QQ, срещу международна неправителствена организация в континентален Китай.

През август 2024 г. допълнителни доклади разкриха, че групата е компрометирала неназован доставчик на интернет услуги (ISP), злоупотребявайки с отровени DNS отговори, за да разпространява актуализации на злонамерен софтуер до избрани цели.

По-широка екосистема от участници в AitM, съобразени с Китай

Evasive Panda е част от по-широк кръг от свързани с Китай групи за заплахи, които разчитат на базирано на AitM отравяне за доставка и движение на зловреден софтуер в мрежите. Анализаторите са идентифицирали поне десет активни групи, използващи подобни подходи, което подчертава, че манипулирането на DNS се е превърнало в предпочитана техника в тази екосистема.

Актуализации на софтуера, въоръжени като примамки

При документираните прониквания жертвите са били примамвани с фалшиви актуализации, маскирани като легитимен софтуер на трети страни. Една известна примамка се е представяла за актуализации за SohuVA, приложение за стрийминг на видео от китайската технологична компания Sohu. Актуализацията изглежда е произхождала от легитимния домейн p2p.hd.sohu.com[.]cn, което силно предполага, че е било използвано DNS отравяне за пренасочване на трафика към злонамерен сървър, докато приложението се е опитвало да актуализира двоични файлове в стандартната си директория под appdata\roaming\shapp\7.0.18.0\package.

Изследователите също така наблюдаваха паралелни кампании, злоупотребяващи с фалшиви актуализатори за iQIYI Video на Baidu, IObit Smart Defrag и Tencent QQ.

Многоетапна доставка на полезен товар чрез доверени домейни

Успешното изпълнение на фалшивата актуализация доведе до внедряване на първоначален зареждащ програмен файл, който стартира шелкод. Този шелкод извлече криптиран полезен товар от втори етап, маскиран като PNG изображение, отново чрез DNS отравяне, този път злоупотребявайки с легитимния домейн dictionary.com.

Нападателите са манипулирали DNS резолюцията, така че dictionary.com да се преобразува в контролирани от нападателя IP адреси, селективно определени от географското местоположение и интернет доставчика на жертвата. HTTP заявката, използвана за извличане на този полезен товар, е включвала версията на Windows на жертвата, което вероятно е позволило на нападателите да приспособят последващите действия към конкретни компилации на операционната система. Това селективно насочване наподобява предишното използване на атаки тип „watering hole“ от групата, включително разпространението на зловреден софтуер за macOS, известен като MACMA.

Как може да е постигнато отравянето на DNS

Въпреки че точният метод, използван за отравяне на DNS отговорите, остава непотвърден, изследователите подозират две основни възможности:

  • Селективно компрометиране на интернет доставчиците на жертви, потенциално включващо мрежови импланти на крайни устройства за манипулиране на DNS трафик.
  • Директно компрометиране на рутери или защитни стени в среда на жертвата, за да се променят DNS отговорите локално.

Усъвършенствана верига за зареждане и персонализирано криптиране

Процесът на доставяне на зловреден софтуер от втория етап е умишлено сложен. Първоначалният шелкод декриптира и изпълнява специфичен за жертвата полезен товар – подход, за който се смята, че намалява откриваемостта чрез генериране на уникален криптиран файл за всяка цел.

Вторичен зареждащ файл, маскиран като libpython2.4.dll, разчита на странично зареждане на преименуван, остарял python.exe. След изпълнението си, той извлича и декриптира полезния товар от следващия етап, като чете от C:\ProgramData\Microsoft\eHome\perf.dat. Този файл съдържа зловреден софтуер, който първо е бил XOR-криптиран, след това декриптиран и накрая повторно криптиран с помощта на персонализиран хибрид от Data Protection API (DPAPI) на Microsoft и алгоритъма RC5. Този дизайн гарантира, че полезният товар може да бъде декриптиран само на оригиналната система на жертвата, което значително усложнява прихващането и офлайн анализа.

MgBot: Дискретен и способен имплант

След декриптиране, полезният товар се инжектира в легитимен процес svchost.exe, разкривайки се като вариант на задната вратичка MgBot. Този модулен имплант поддържа широк спектър от шпионски функции, включително:

  • Събиране и извличане на файлове
  • Регистриране на натискания на клавиши и събиране на данни от буфера на паметта
  • Аудиозапис
  • Кражба на съхранени в браузъра идентификационни данни

Тези възможности позволяват на нападателите да поддържат дългосрочен, скрит достъп до компрометирани системи.

Развиваща се и постоянна заплаха

Тази кампания подчертава непрекъснатата еволюция и техническото усъвършенстване на Evasive Panda. Чрез комбиниране на DNS отравяне, имитация на доверен бранд, многослойни зареждащи програми и системно обвързано криптиране, групата демонстрира ясна способност да заобикаля защитите, като същевременно поддържа постоянен достъп до високоценни цели. Операцията засилва необходимостта от по-силна DNS сигурност, валидиране на веригата за доставки и наблюдение на механизмите за актуализиране в чувствителни среди.

Тенденция

Search.ansiblealgorithm.com

Измамни уебсайтове, Похитители на браузъри, Потенциално нежелани програми
В днешния пейзаж на заплахи, защитата на вашата система от натрапчив и ненадежден софтуер е също толкова важна, колкото и предпазването от откровен зловреден софтуер. Потенциално нежеланите...

Важно предупреждение за имейл измама с вашия акаунт...

Фишинг, Спам
Неочакваните имейли, които изискват спешно внимание, са любимо оръжие на киберпрестъпниците. Не може да се подчертае достатъчно колко е важно да се внимава, когато съобщенията се появяват изневиделица, особено тези, които предупреждават за проблеми с акаунти или новоиздадени документи. Една такава заплаха, разпространяваща се онлайн, е имейл измамата „Фактурите се издават“ – измамна кампания,...

Най-гледан

Зареждане...