Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Tagauksed MgBoti tagauks

MgBoti tagauks

Aastaks Mezo aastal Tagauksed, Täiustatud püsiv oht (APT)
Tõlgi:

Keerukas ja Hiinaga kooskõlastatud täiustatud püsiva ohu (APT) operatsioon on seostatud pikaajalise küberspionaažikampaaniaga, mis kuritarvitas domeeninimede süsteemi (DNS) infrastruktuuri MgBoti tagaukse pakkumiseks. Kampaania keskendus hoolikalt valitud ohvritele Türgis, Hiinas ja Indias ning oli aktiivne 2022. aasta novembrist kuni 2024. aasta novembrini.

Operatsiooni taga olev vastane

Tegevust on seostatud ohutegelasega, keda tuntakse laialdaselt nime all Evasive Panda, kuid keda jälgitakse ka nimede Bronze Highland, Daggerfly ja StormBamboo all. Selle rühmituse hinnangute kohaselt on see tegutsenud vähemalt alates 2012. aastast ning see on tuntud pigem sihipäraste sissetungide kui laiaulatuslike oportunistlike rünnakute poolest.

Keskne vastane kui põhitaktika

Kampaania keskmes oli nn. „vastase keskel“ (AitM) tehnikate kasutamine. Ründajad manipuleerisid DNS-vastustega nii, et ohvrid suunati märkamatult nende kontrolli all olevale infrastruktuurile. Pahavara laadijad paigutati täpsetesse failide asukohtadesse, samas kui krüptitud komponendid majutati ründaja kontrolli all olevatele serveritele ja edastati ainult vastuseks konkreetsetele DNS-päringutele, mis olid seotud legitiimsete veebisaitidega.

DNS-i mürgistuse kuritarvitamise muster

See kampaania pole üksikjuhtum. Evasive Panda on korduvalt näidanud üles DNS-i mürgitamise oskusteavet. Varasemad uuringud tõid esile sarnaseid taktikaid 2023. aasta aprillis, kui rühmitus kasutas tõenäoliselt kas tarneahela ohtu seadmist või AitM-rünnakut, et levitada Mandri-Hiinas asuva rahvusvahelise valitsusvälise organisatsiooni vastu usaldusväärse tarkvara, näiteks Tencent QQ, trooja nakatatud versioone.

2024. aasta augustis selgus edasistest teadetest, et rühmitus oli ohustanud nimetu internetiteenuse pakkujat (ISP), kuritarvitades mürgitatud DNS-vastuseid pahatahtliku tarkvara värskenduste levitamiseks valitud sihtmärkidele.

Hiinaga liitunud AitM-i osalejate laiem ökosüsteem

Evasive Panda on osa laiemast Hiinaga seotud ohurühmituste maastikust, mis tuginevad AitM-põhisele mürgitamisele pahavara edastamiseks ja võrkudes liikumiseks. Analüütikud on tuvastanud vähemalt kümme aktiivset rühmitust, kes kasutavad sarnaseid lähenemisviise, mis rõhutab, et DNS-manipuleerimisest on saanud selle ökosüsteemi eelistatud tehnika.

Relvastatud tarkvarauuendused peibutistena

Dokumenteeritud sissetungide puhul meelitati ohvreid võltsitud värskendustega, mis maskeerusid legitiimse kolmanda osapoole tarkvaraks. Üks tuntud peibutis imiteeris Hiina tehnoloogiaettevõtte Sohu video voogedastusrakenduse SohuVA värskendusi. Värskendus näis pärinevat legitiimselt domeenilt p2p.hd.sohu.com[.]cn, mis viitab tugevalt sellele, et DNS-i mürgitamist kasutati liikluse suunamiseks pahatahtlikule serverile, samal ajal kui rakendus üritas värskendada binaarfaile oma standardkataloogis appdata\roaming\shapp\7.0.18.0\package all.

Teadlased täheldasid ka paralleelseid kampaaniaid, mis kuritarvitasid võltsitud uuendajaid Baidu iQIYI Video, IObit Smart Defrag ja Tencent QQ jaoks.

Mitmeastmeline kasuliku koormuse kohaletoimetamine usaldusväärsete domeenide kaudu

Võltsitud värskenduse edukas käivitamine viis esialgse laaduri käivitamiseni, mis käivitas kestakoodi. See kestakood hankis PNG-pildina maskeeritud krüptitud teise etapi kasuliku koormuse, taas DNS-i mürgitamise kaudu, seekord kuritarvitades legitiimset domeeni dictionary.com.

Ründajad manipuleerisid DNS-i lahendusega nii, et dictionary.com lahendas selle ründaja kontrollitavatele IP-aadressidele, mis määrati valikuliselt ohvri geograafilise asukoha ja internetiteenuse pakkuja järgi. Selle kasuliku teabe hankimiseks kasutatud HTTP-päring sisaldas ohvri Windowsi versiooni, mis tõenäoliselt võimaldas ründajatel kohandada järgnevaid toiminguid konkreetsete operatsioonisüsteemi versioonide jaoks. See valikuline sihtimine kajastab grupi varasemat kitsasrünnakute kasutamist, sealhulgas macOS-i pahavara MACMA levitamist.

Kuidas DNS-i mürgistus võidi saavutada

Kuigi DNS-vastuste mürgitamiseks kasutatud täpne meetod on endiselt kinnitamata, kahtlustavad uurijad kahte peamist võimalust:

  • Ohvri internetiteenuse pakkujate valikuline kompromiteerimine, mis võib hõlmata võrguimplantaate servaseadmetesse DNS-liikluse manipuleerimiseks.
  • Ohvrikeskkondade ruuterite või tulemüüride otsene kompromiteerimine DNS-vastuste lokaalseks muutmiseks.

Täiustatud laadurkett ja kohandatud krüptimine

Teise etapi pahavara edastamise protsess on tahtlikult keerukas. Esialgne kestkood dekrüpteerib ja käivitab ohvripõhise sisu – lähenemisviis, mis arvatavasti vähendab avastamist, genereerides iga sihtmärgi jaoks unikaalse krüptitud faili.

Teisene laadur, mis on maskeeritud kui libpython2.4.dll, tugineb ümbernimetatud ja aegunud python.exe külglaadimisele. Pärast käivitamist hangib ja dekrüpteerib see järgmise etapi sisu, lugedes failist C:\ProgramData\Microsoft\eHome\perf.dat. See fail sisaldab pahavara, mis esmalt XOR-krüpteeriti, seejärel dekrüpteeriti ja lõpuks uuesti krüpteeriti, kasutades Microsofti andmekaitse API (DPAPI) ja RC5 algoritmi kohandatud hübriidi. See disain tagab, et sisu saab dekrüpteerida ainult algses ohvri süsteemis, mis raskendab oluliselt pealtkuulamist ja võrguühenduseta analüüsi.

MgBot: salakaval ja võimekas implantaat

Pärast dekrüpteerimist süstitakse kasulik fail legitiimse svchost.exe protsessi, mis paljastab end MgBoti tagaukse variandina. See modulaarne implantaat toetab laia valikut spionaažifunktsioone, sealhulgas:

  • Failide kogumine ja väljafiltreerimine
  • Klahvivajutuste logimine ja lõikelauale kogumine
  • Helisalvestus
  • Brauseris salvestatud volituste vargus

Need võimalused võimaldavad ründajatel säilitada pikaajalist ja salajast juurdepääsu ohustatud süsteemidele.

Arenev ja püsiv oht

See kampaania rõhutab Evasive Panda pidevat arengut ja tehnilist keerukust. DNS-i mürgitamise, usaldusväärse kaubamärgi jäljendamise, mitmekihiliste laadurite ja süsteemipõhise krüptimise kombineerimise abil näitab rühmitus selget võimet kaitsemehhanismidest mööda hiilida, säilitades samal ajal püsiva juurdepääsu väärtuslikele sihtmärkidele. See operatsioon rõhutab vajadust tugevama DNS-i turvalisuse, tarneahela valideerimise ja värskendusmehhanismide jälgimise järele tundlikes keskkondades.

Trendikas

Oluline hoiatus teie Microsofti kontoga seotud...

Andmepüük, Rämpspost
Ootamatud meilid, mis nõuavad kiiret tähelepanu, on küberkurjategijate lemmikrelv. Ei saa piisavalt rõhutada, kui oluline on olla valvas ootamatute teadete puhul, eriti nende puhul, mis hoiatavad kontoprobleemide või äsja avaldatud dokumentide eest. Üks selline veebis leviv oht on meilipettus „Arved avaldatakse” – petlik kampaania, mille eesmärk on usalduse ärakasutamine ja tundliku teabe...

Enim vaadatud

Laadimine...