Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Portes del darrere Porta del darrere de MgBot

Porta del darrere de MgBot

El Mezo el Portes del darrere, Amenaça persistent avançada (APT)
Traduir a:

Una sofisticada operació d'amenaces persistents avançades (APT) alineada amb la Xina s'ha atribuït a una campanya de ciberespionatge de llarga durada que va abusar de la infraestructura del sistema de noms de domini (DNS) per distribuir la porta del darrere MgBot. La campanya es va centrar en víctimes seleccionades acuradament a Turquia, la Xina i l'Índia, i va romandre activa des del novembre del 2022 fins al novembre del 2024.

L’adversari darrere de l’operació

L'activitat s'ha vinculat a l'actor d'amenaces àmpliament conegut com a Evasive Panda, també rastrejat amb els noms de Bronze Highland, Daggerfly i StormBamboo. S'ha avaluat que aquest grup està operatiu des d'almenys el 2012 i és conegut per intrusions molt dirigides en lloc d'atacs oportunistes generalitzats.

L’adversari intermedi com a tàctica central

Al centre de la campanya hi havia l'ús de tècniques d'adversari en el mig (AitM). Els atacants manipulaven les respostes DNS de manera que les víctimes fossin redirigides silenciosament a la infraestructura sota el seu control. Els carregadors de programari maliciós es col·locaven en ubicacions de fitxers precises, mentre que els components xifrats s'allotjaven en servidors controlats pels atacants i només es lliuraven en resposta a consultes DNS específiques vinculades a llocs web legítims.

Un patró d’abús d’enverinament de DNS

Aquesta campanya no és un cas aïllat. Evasive Panda ha demostrat repetidament la seva experiència en enverinament de DNS. Investigacions anteriors van destacar tàctiques similars a l'abril de 2023, quan el grup probablement va aprofitar un compromís de la cadena de subministrament o un atac AitM per distribuir versions troianitzades de programari de confiança, com ara Tencent QQ, contra una ONG internacional a la Xina continental.

A l'agost de 2024, altres informes van revelar que el grup havia compromès un proveïdor de serveis d'Internet (ISP) anònim, abusant de respostes DNS enverinades per distribuir actualitzacions de programari maliciós a objectius seleccionats.

Un ecosistema més ampli d’actors de l’AitM alineats amb la Xina

Evasive Panda forma part d'un panorama més ampli de grups d'amenaces alineats amb la Xina que depenen de l'enverinament basat en AitM per al lliurament i moviment de programari maliciós dins de les xarxes. Els analistes han identificat almenys deu grups actius que utilitzen enfocaments similars, cosa que subratlla que la manipulació del DNS s'ha convertit en una tècnica preferida dins d'aquest ecosistema.

Actualitzacions de programari armades com a esquers

En les intrusions documentades, les víctimes eren atretes amb actualitzacions falses que es feien passar per programari legítim de tercers. Un esquer destacat va suplantar actualitzacions per a SohuVA, una aplicació de transmissió de vídeo de l'empresa tecnològica xinesa Sohu. L'actualització semblava originar-se del domini legítim p2p.hd.sohu.com[.]cn, cosa que suggereix fermament que l'enverinament de DNS es va utilitzar per redirigir el trànsit a un servidor maliciós mentre l'aplicació intentava actualitzar els binaris del seu directori estàndard a appdata\roaming\shapp\7.0.18.0\package.

Els investigadors també van observar campanyes paral·leles que abusaven d'actualitzadors falsos per a iQIYI Video de Baidu, IObit Smart Defrag i Tencent QQ.

Lliurament de càrrega útil en diverses etapes a través de dominis de confiança

L'execució correcta de l'actualització falsa va conduir al desplegament d'un carregador inicial que va iniciar shellcode. Aquest shellcode va recuperar una càrrega útil de segona etapa xifrada disfressada d'una imatge PNG, de nou mitjançant enverinament DNS, aquesta vegada abusant del domini legítim dictionary.com.

Els atacants van manipular la resolució DNS de manera que dictionary.com resolgués a adreces IP controlades per l'atacant, determinades selectivament per la ubicació geogràfica i el proveïdor d'Internet de la víctima. La sol·licitud HTTP utilitzada per obtenir aquesta càrrega útil incloïa la versió de Windows de la víctima, cosa que probablement va permetre als atacants adaptar les accions posteriors a compilacions específiques del sistema operatiu. Aquesta orientació selectiva fa ressò de l'ús previ del grup d'atacs de tipus "watering hole", inclosa la distribució de programari maliciós per a macOS conegut com a MACMA.

Com s’ha pogut aconseguir l’enverinament del DNS

Tot i que el mètode precís utilitzat per enverinar les respostes DNS encara no s'ha confirmat, els investigadors sospiten dues possibilitats principals:

  • Compromís selectiu dels proveïdors d'Internet víctimes, que pot implicar implants de xarxa en dispositius perifèrics per manipular el trànsit DNS.
  • Compromís directe dels encaminadors o tallafocs dins dels entorns de les víctimes per alterar les respostes DNS localment.

Cadena de carregador sofisticada i xifratge personalitzat

El procés de lliurament de programari maliciós en la segona fase és deliberadament complex. El shellcode inicial desxifra i executa una càrrega útil específica de la víctima, un enfocament que es creu que redueix la detecció generant un fitxer xifrat únic per a cada objectiu.

Un carregador secundari, disfressat de libpython2.4.dll, es basa en la càrrega lateral d'un fitxer python.exe canviat de nom i obsolet. Un cop executat, recupera i desxifra la càrrega útil de la següent etapa llegint des de C:\ProgramData\Microsoft\eHome\perf.dat. Aquest fitxer conté programari maliciós que primer es va xifrar amb XOR, després es va desxifrar i finalment es va tornar a xifrar mitjançant un híbrid personalitzat de l'API de protecció de dades (DPAPI) de Microsoft i l'algoritme RC5. Aquest disseny garanteix que la càrrega útil només es pugui desxifrar al sistema de la víctima original, cosa que complica significativament la intercepció i l'anàlisi fora de línia.

MgBot: Un implant furtiu i capaç

Després del desxifratge, la càrrega útil s'injecta en un procés svchost.exe legítim, revelant-se com una variant de la porta del darrere MgBot. Aquest implant modular admet una àmplia gamma de funcions d'espionatge, incloent:

  • Recopilació i exfiltració de fitxers
  • Registre de pulsacions de tecles i recol·lecció de porta-retalls
  • enregistrament d'àudio
  • Robatori de credencials emmagatzemades al navegador

Aquestes capacitats permeten als atacants mantenir un accés encobert a llarg termini als sistemes compromesos.

Una amenaça en evolució i persistent

Aquesta campanya destaca l'evolució contínua i la sofisticació tècnica d'Evasive Panda. Combinant la intoxicació DNS, la suplantació de marca de confiança, els carregadors multicapa i el xifratge vinculat al sistema, el grup demostra una clara capacitat per evadir les defenses alhora que manté un accés persistent a objectius d'alt valor. L'operació reforça la necessitat d'una seguretat DNS més forta, la validació de la cadena de subministrament i la supervisió dels mecanismes d'actualització en entorns sensibles.

Tendència

Més vist

Carregant...