Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Backdoors MgBot Backdoor

MgBot Backdoor

Μέχρι το Mezo το Backdoors, Προηγμένη επίμονη απειλή (APT)
Μετάφραση σε:

Μια εξελιγμένη επιχείρηση προηγμένης μόνιμης απειλής (APT) με ευθυγράμμιση με την Κίνα έχει αποδοθεί σε μια μακροχρόνια εκστρατεία κυβερνοκατασκοπείας που καταχράστηκε την υποδομή του Συστήματος Ονομάτων Τομέα (DNS) για να παραδώσει το backdoor του MgBot. Η εκστρατεία επικεντρώθηκε σε προσεκτικά επιλεγμένα θύματα στην Τουρκία, την Κίνα και την Ινδία και παρέμεινε ενεργή από τον Νοέμβριο του 2022 έως τον Νοέμβριο του 2024.

Ο αντίπαλος πίσω από την επιχείρηση

Η δραστηριότητα έχει συνδεθεί με τον απειλητικό παράγοντα, ευρέως γνωστό ως Evasive Panda, ο οποίος παρακολουθείται επίσης με τα ονόματα Bronze Highland, Daggerfly και StormBamboo. Αυτή η ομάδα έχει αξιολογηθεί ότι λειτουργεί τουλάχιστον από το 2012 και είναι γνωστή για ιδιαίτερα στοχευμένες εισβολές παρά για ευρείες, ευκαιριακές επιθέσεις.

Ο Αντίπαλος στη Μέση ως Βασική Τακτική

Στο επίκεντρο της εκστρατείας βρισκόταν η χρήση τεχνικών «αντίπαλου στη μέση» (AitM). Οι εισβολείς χειραγωγούσαν τις απαντήσεις DNS, έτσι ώστε τα θύματα να ανακατευθύνονται σιωπηλά σε υποδομές υπό τον έλεγχό τους. Τα προγράμματα φόρτωσης κακόβουλου λογισμικού τοποθετούνταν σε ακριβείς τοποθεσίες αρχείων, ενώ τα κρυπτογραφημένα στοιχεία φιλοξενούνταν σε διακομιστές που ελέγχονταν από τους εισβολείς και παραδίδονταν μόνο ως απάντηση σε συγκεκριμένα ερωτήματα DNS που συνδέονταν με νόμιμους ιστότοπους.

Ένα μοτίβο κατάχρησης δηλητηρίασης DNS

Αυτή η εκστρατεία δεν είναι μεμονωμένη περίπτωση. Η Evasive Panda έχει επανειλημμένα επιδείξει την εμπειρία της στην δηλητηρίαση DNS. Προηγούμενη έρευνα ανέδειξε παρόμοιες τακτικές τον Απρίλιο του 2023, όταν η ομάδα πιθανότατα αξιοποίησε είτε μια παραβίαση της αλυσίδας εφοδιασμού είτε μια επίθεση AitM για να διανείμει εκδόσεις αξιόπιστου λογισμικού που έχουν μολυνθεί με trojan, όπως το Tencent QQ, εναντίον μιας διεθνούς ΜΚΟ στην ηπειρωτική Κίνα.

Τον Αύγουστο του 2024, περαιτέρω αναφορές αποκάλυψαν ότι η ομάδα είχε παραβιάσει έναν ανώνυμο πάροχο υπηρεσιών διαδικτύου (ISP), εκμεταλλευόμενη τις τοξικές απαντήσεις DNS για να διανείμει κακόβουλες ενημερώσεις λογισμικού σε επιλεγμένους στόχους.

Ένα ευρύτερο οικοσύστημα φορέων AitM που ευθυγραμμίζονται με την Κίνα

Το Evasive Panda αποτελεί μέρος ενός ευρύτερου τοπίου ομάδων απειλών που συνδέονται με την Κίνα και βασίζονται σε δηλητηρίαση με βάση το AitM για την παράδοση και την κυκλοφορία κακόβουλου λογισμικού εντός δικτύων. Οι αναλυτές έχουν εντοπίσει τουλάχιστον δέκα ενεργές ομάδες που χρησιμοποιούν παρόμοιες προσεγγίσεις, υπογραμμίζοντας ότι η χειραγώγηση DNS έχει γίνει μια προτιμώμενη τεχνική σε αυτό το οικοσύστημα.

Ενημερώσεις οπλισμένου λογισμικού ως δολώματα

Στις καταγεγραμμένες εισβολές, τα θύματα δελεάστηκαν με ψεύτικες ενημερώσεις που μεταμφιέζονταν σε νόμιμο λογισμικό τρίτων. Ένα εξέχον δόλωμα πλαστοπροσωπούσε ενημερώσεις για το SohuVA, μια εφαρμογή streaming βίντεο από την κινεζική εταιρεία τεχνολογίας Sohu. Η ενημέρωση φαινόταν να προέρχεται από τον νόμιμο τομέα p2p.hd.sohu.com[.]cn, υποδηλώνοντας έντονα ότι η δηλητηρίαση DNS χρησιμοποιήθηκε για την ανακατεύθυνση της κυκλοφορίας σε έναν κακόβουλο διακομιστή, ενώ η εφαρμογή προσπάθησε να ενημερώσει τα δυαδικά αρχεία στον τυπικό κατάλογό της στην ενότητα appdata\roaming\shapp\7.0.18.0\package.

Οι ερευνητές παρατήρησαν επίσης παράλληλες καμπάνιες που έκαναν κατάχρηση ψεύτικων ενημερώσεων για τα iQIYI Video, IObit Smart Defrag και Tencent QQ της Baidu.

Παράδοση ωφέλιμου φορτίου σε πολλαπλά στάδια μέσω αξιόπιστων τομέων

Η επιτυχής εκτέλεση της ψεύτικης ενημέρωσης οδήγησε στην ανάπτυξη ενός αρχικού loader που εκκίνησε το shellcode. Αυτό το shellcode ανέκτησε ένα κρυπτογραφημένο φορτίο δεύτερου σταδίου που είχε μεταμφιεστεί σε εικόνα PNG, και πάλι μέσω δηλητηρίασης DNS, αυτή τη φορά καταχρώμενο τον νόμιμο τομέα dictionary.com.

Οι εισβολείς χειραγώγησαν την ανάλυση DNS έτσι ώστε το dictionary.com να αναλυθεί σε διευθύνσεις IP που ελέγχονταν από τον εισβολέα, οι οποίες καθορίζονταν επιλεκτικά από τη γεωγραφική θέση και τον ISP του θύματος. Το αίτημα HTTP που χρησιμοποιήθηκε για την ανάκτηση αυτού του φορτίου περιελάμβανε την έκδοση των Windows του θύματος, πιθανώς επιτρέποντας στους εισβολείς να προσαρμόσουν τις επακόλουθες ενέργειες σε συγκεκριμένες εκδόσεις λειτουργικού συστήματος. Αυτή η επιλεκτική στόχευση αντικατοπτρίζει την προηγούμενη χρήση επιθέσεων watering hole από την ομάδα, συμπεριλαμβανομένης της διανομής κακόβουλου λογισμικού macOS γνωστού ως MACMA.

Πώς μπορεί να έχει επιτευχθεί η δηλητηρίαση του DNS

Αν και η ακριβής μέθοδος που χρησιμοποιείται για την δηλητηρίαση των απαντήσεων DNS παραμένει ανεπιβεβαίωτη, οι ερευνητές υποψιάζονται δύο κύριες πιθανότητες:

  • Επιλεκτική παραβίαση των παρόχων υπηρεσιών Διαδικτύου (ISP) των θυμάτων, πιθανώς με εμφυτεύματα δικτύου σε συσκευές edge για χειραγώγηση της κίνησης DNS.
  • Άμεση παραβίαση δρομολογητών ή τείχους προστασίας εντός των περιβαλλόντων των θυμάτων για την τοπική τροποποίηση των απαντήσεων DNS.

Εξελιγμένη αλυσίδα φόρτωσης και προσαρμοσμένη κρυπτογράφηση

Η διαδικασία παράδοσης κακόβουλου λογισμικού δεύτερου σταδίου είναι σκόπιμα πολύπλοκη. Ο αρχικός κώδικας κελύφους αποκρυπτογραφεί και εκτελεί ένα ωφέλιμο φορτίο ειδικό για το θύμα, μια προσέγγιση που πιστεύεται ότι μειώνει την ανίχνευση δημιουργώντας ένα μοναδικό κρυπτογραφημένο αρχείο για κάθε στόχο.

Ένας δευτερεύων φορτωτής, μεταμφιεσμένος ως libpython2.4.dll, βασίζεται στην παράπλευρη φόρτωση ενός μετονομασμένου, παρωχημένου python.exe. Μόλις εκτελεστεί, ανακτά και αποκρυπτογραφεί το ωφέλιμο φορτίο επόμενου σταδίου διαβάζοντας από το C:\ProgramData\Microsoft\eHome\perf.dat. Αυτό το αρχείο περιέχει κακόβουλο λογισμικό που πρώτα κρυπτογραφήθηκε με XOR, στη συνέχεια αποκρυπτογραφήθηκε και τελικά κρυπτογραφήθηκε ξανά χρησιμοποιώντας ένα προσαρμοσμένο υβρίδιο του API Προστασίας Δεδομένων (DPAPI) της Microsoft και του αλγορίθμου RC5. Αυτός ο σχεδιασμός διασφαλίζει ότι το ωφέλιμο φορτίο μπορεί να αποκρυπτογραφηθεί μόνο στο αρχικό σύστημα του θύματος, περιπλέκοντας σημαντικά την υποκλοπή και την ανάλυση εκτός σύνδεσης.

MgBot: Ένα κρυφό και ικανό εμφύτευμα

Μετά την αποκρυπτογράφηση, το ωφέλιμο φορτίο εισάγεται σε μια νόμιμη διεργασία svchost.exe, αποκαλύπτοντας τον εαυτό του ως μια παραλλαγή του backdoor του MgBot. Αυτό το αρθρωτό εμφύτευμα υποστηρίζει ένα ευρύ φάσμα λειτουργιών κατασκοπείας, όπως:

  • Συλλογή και εξαγωγή αρχείων
  • Καταγραφή πληκτρολόγησης και συλλογή από πρόχειρο
  • Ηχογράφηση
  • Κλοπή διαπιστευτηρίων που είναι αποθηκευμένα σε πρόγραμμα περιήγησης

Αυτές οι δυνατότητες επιτρέπουν στους επιτιθέμενους να διατηρούν μακροπρόθεσμη, μυστική πρόσβαση σε παραβιασμένα συστήματα.

Μια εξελισσόμενη και επίμονη απειλή

Αυτή η καμπάνια υπογραμμίζει τη συνεχή εξέλιξη και την τεχνική πολυπλοκότητα του Evasive Panda. Συνδυάζοντας την δηλητηρίαση DNS, την πλαστοπροσωπία αξιόπιστης μάρκας, τους πολυεπίπεδους φορτωτές και την κρυπτογράφηση που συνδέεται με το σύστημα, η ομάδα επιδεικνύει σαφή ικανότητα να αποφεύγει τις άμυνες διατηρώντας παράλληλα συνεχή πρόσβαση σε στόχους υψηλής αξίας. Η επιχείρηση ενισχύει την ανάγκη για ισχυρότερη ασφάλεια DNS, επικύρωση της αλυσίδας εφοδιασμού και παρακολούθηση των μηχανισμών ενημέρωσης σε ευαίσθητα περιβάλλοντα.

Τάσεις

Search.ansiblealgorithm.com

Απατεώνες Ιστότοποι, Browser Hijackers, Πιθανώς ανεπιθύμητα προγράμματα
Στο σημερινό τοπίο απειλών, η προστασία του συστήματός σας από παρεμβατικό και αναξιόπιστο λογισμικό είναι εξίσου σημαντική με την προστασία από το άμεσο κακόβουλο λογισμικό. Τα Δυνητικά...

Σημαντική ειδοποίηση σχετικά με την απάτη μέσω email...

Phishing, Ανεπιθύμητη αλληλογραφία
Τα απροσδόκητα email που απαιτούν επείγουσα προσοχή αποτελούν ένα αγαπημένο όπλο των κυβερνοεγκληματιών. Δεν μπορεί να τονιστεί αρκετά πόσο σημαντικό είναι να παραμένετε σε εγρήγορση όταν εμφανίζονται μηνύματα ξαφνικά, ειδικά εκείνα που προειδοποιούν για προβλήματα λογαριασμού ή πρόσφατα δημοσιευμένα έγγραφα. Μια τέτοια απειλή που κυκλοφορεί στο διαδίκτυο είναι η απάτη email «Invoices Are Being...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
29,658
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...