Zadní vrátka MgBot

Sofistikovaná operace pokročilé perzistentní hrozby (APT) spojená s Čínou byla připisována dlouhodobé kybernetické špionážní kampani, která zneužívala infrastrukturu systému doménových jmen (DNS) k doručení zadních vrátek MgBot. Kampaň se zaměřila na pečlivě vybrané oběti v Turecku, Číně a Indii a byla aktivní od listopadu 2022 do listopadu 2024.

Protivník stojící za operací

Tato aktivita byla spojována s hackerskou skupinou široce známou jako Evasive Panda, sledovanou také pod názvy Bronze Highland, Daggerfly a StormBamboo. Tato skupina je považována za operativní nejméně od roku 2012 a je známá spíše pro cílené útoky než pro rozsáhlé, oportunistické útoky.

Protivník uprostřed jako klíčová taktika

Jádrem kampaně bylo použití technik „protivník uprostřed“ (AitM). Útočníci manipulovali s odpověďmi DNS tak, aby oběti byly tiše přesměrovány na infrastrukturu pod jejich kontrolou. Zavaděče malwaru byly umístěny do přesných umístění souborů, zatímco šifrované komponenty byly hostovány na serverech ovládaných útočníkem a doručovány pouze v reakci na specifické dotazy DNS vázané na legitimní webové stránky.

Vzor zneužívání DNS otravou

Tato kampaň není ojedinělým případem. Evasive Panda opakovaně prokázala odborné znalosti v oblasti otravy DNS. Dřívější výzkum upozornil na podobné taktiky v dubnu 2023, kdy skupina pravděpodobně využila buď kompromitaci dodavatelského řetězce, nebo útok AitM k distribuci trojanských verzí důvěryhodného softwaru, jako je Tencent QQ, proti mezinárodní nevládní organizaci v pevninské Číně.

V srpnu 2024 další zprávy odhalily, že skupina narušila přístup nejmenovaného poskytovatele internetových služeb (ISP) a zneužila napadené odpovědi DNS k distribuci aktualizací škodlivého softwaru vybraným cílům.

Širší ekosystém aktérů AitM spojený s Čínou

Evasive Panda je součástí širší sítě hrozeb spojených s Čínou, které se pro doručování a pohyb malwaru v sítích spoléhají na otravu viry založenou na technologii AitM. Analytici identifikovali nejméně deset aktivních skupin používajících podobné přístupy, což zdůrazňuje, že manipulace s DNS se v tomto ekosystému stala preferovanou technikou.

Aktualizace softwaru jako návnady

V zdokumentovaných útokech byly oběti lákány falešnými aktualizacemi maskovanými jako legitimní software třetích stran. Jedna z prominentních lákadel se vydávala za aktualizace pro SohuVA, aplikaci pro streamování videa od čínské technologické společnosti Sohu. Aktualizace zřejmě pocházela z legitimní domény p2p.hd.sohu.com[.]cn, což silně naznačuje, že k přesměrování provozu na škodlivý server bylo použito otravování DNS, zatímco se aplikace pokoušela aktualizovat binární soubory ve svém standardním adresáři v adresáři appdata\roaming\shapp\7.0.18.0\package.

Výzkumníci také pozorovali paralelní kampaně zneužívající falešné aktualizační programy pro Baidu iQIYI Video, IObit Smart Defrag a Tencent QQ.

Vícestupňové doručování dat prostřednictvím důvěryhodných domén

Úspěšné spuštění falešné aktualizace vedlo k nasazení počátečního zavaděče, který spustil shellcode. Tento shellcode načetl zašifrované datové zatížení druhé fáze maskované jako obrázek PNG, opět prostřednictvím DNS poisoningu, tentokrát zneužitím legitimní domény dictionary.com.

Útočníci manipulovali s DNS rozlišením tak, že dictionary.com se identifikoval jako IP adresy kontrolované útočníkem, selektivně určené podle geografické polohy oběti a poskytovatele internetových služeb. HTTP požadavek použitý k načtení tohoto obsahu obsahoval verzi Windows oběti, což útočníkům pravděpodobně umožnilo přizpůsobit následné akce konkrétním sestavením operačního systému. Toto selektivní cílení odráží předchozí používání útoků typu „watering hole“ skupinou, včetně distribuce malwaru pro macOS známého jako MACMA.

Jak mohlo být dosaženo otravy DNS

Přestože přesná metoda použitá k otrávení DNS odpovědí zůstává nepotvrzena, vyšetřovatelé mají podezření na dvě hlavní možnosti:

• Selektivní kompromitace poskytovatelů internetových služeb oběti, potenciálně zahrnující síťové implantáty na okrajových zařízeních za účelem manipulace s provozem DNS.
• Přímé narušení routerů nebo firewallů v prostředí oběti za účelem lokální změny odpovědí DNS.

Sofistikovaný řetězec zavaděčů a vlastní šifrování

Proces doručování malwaru ve druhé fázi je záměrně složitý. Počáteční shellcode dešifruje a spustí datovou zátěž specifickou pro oběť, což je přístup, o kterém se předpokládá, že snižuje detekci generováním jedinečného zašifrovaného souboru pro každý cíl.

Sekundární zavaděč, maskovaný jako libpython2.4.dll, se spoléhá na načítání přejmenovaného, zastaralého souboru python.exe. Po spuštění načte a dešifruje další část souboru čtením ze souboru C:\ProgramData\Microsoft\eHome\perf.dat. Tento soubor obsahuje malware, který byl nejprve zašifrován pomocí XOR, poté dešifrován a nakonec znovu zašifrován pomocí vlastního hybridu rozhraní Microsoft Data Protection API (DPAPI) a algoritmu RC5. Tato konstrukce zajišťuje, že část lze dešifrovat pouze na původním systému oběti, což výrazně komplikuje odposlech a offline analýzu.

MgBot: Nenápadný a schopný implantát

Po dešifrování je datový soubor vložen do legitimního procesu svchost.exe a jeví se jako varianta zadních vrátek MgBot. Tento modulární implantát podporuje širokou škálu špionážních funkcí, včetně:

• Shromažďování a exfiltrace souborů
• Záznam úhozů kláves a sběr dat ze schránky
• Zvukový záznam
• Krádež přihlašovacích údajů uložených v prohlížeči

Díky těmto schopnostem si útočníci mohou dlouhodobě a skrytě udržovat přístup k napadeným systémům.

Vyvíjející se a přetrvávající hrozba

Tato kampaň zdůrazňuje neustálý vývoj a technickou sofistikovanost skupiny Evasive Panda. Kombinací DNS poisoningu, imitace důvěryhodné značky, vícevrstvých zavaděčů a systémově vázaného šifrování skupina prokazuje jasnou schopnost obcházet obranu a zároveň si udržovat trvalý přístup k vysoce hodnotným cílům. Tato operace posiluje potřebu silnějšího zabezpečení DNS, ověřování dodavatelského řetězce a monitorování aktualizačních mechanismů v citlivých prostředích.