درب پشتی MgBot

یک عملیات پیچیده تهدید مداوم پیشرفته (APT) که توسط چین هدایت می‌شود، به یک کمپین جاسوسی سایبری طولانی‌مدت نسبت داده شده است که از زیرساخت سامانه نام دامنه (DNS) برای اجرای درب پشتی MgBot سوءاستفاده کرده است. این کمپین بر روی قربانیانی در ترکیه، چین و هند که با دقت انتخاب شده‌اند، متمرکز بوده و از نوامبر 2022 تا نوامبر 2024 فعال بوده است.

دشمن پشت این عملیات

این فعالیت به عامل تهدیدی که به طور گسترده با نام Evasive Panda شناخته می‌شود و با نام‌های Bronze Highland، Daggerfly و StormBamboo نیز ردیابی می‌شود، مرتبط دانسته شده است. این گروه حداقل از سال ۲۰۱۲ فعال ارزیابی شده است و به جای حملات گسترده و فرصت‌طلبانه، به خاطر نفوذهای بسیار هدفمند شناخته می‌شود.

دشمن در میانه به عنوان یک تاکتیک اصلی

در قلب این کمپین، استفاده از تکنیک‌های نفوذ در میانه (AitM) قرار داشت. مهاجمان پاسخ‌های DNS را دستکاری می‌کردند تا قربانیان بی‌سروصدا به زیرساخت تحت کنترل خود هدایت شوند. بارگذاری‌کننده‌های بدافزار در مکان‌های دقیق فایل قرار داده می‌شدند، در حالی که اجزای رمزگذاری شده روی سرورهای تحت کنترل مهاجم میزبانی می‌شدند و فقط در پاسخ به درخواست‌های DNS خاص مرتبط با وب‌سایت‌های قانونی ارائه می‌شدند.

الگویی از سوءاستفاده از مسمومیت DNS

این کمپین یک مورد منحصر به فرد نیست. Evasive Panda بارها تخصص خود را در زمینه مسمومیت DNS نشان داده است. تحقیقات قبلی تاکتیک‌های مشابهی را در آوریل 2023 برجسته کرده است، زمانی که این گروه احتمالاً از یک نفوذ زنجیره تأمین یا حمله AitM برای توزیع نسخه‌های تروجان‌شده نرم‌افزارهای مورد اعتماد، مانند Tencent QQ، علیه یک سازمان غیردولتی بین‌المللی در سرزمین اصلی چین استفاده کرده است.

در آگوست ۲۰۲۴، گزارش‌های بیشتر نشان داد که این گروه یک ارائه‌دهنده خدمات اینترنتی (ISP) ناشناس را به خطر انداخته و از پاسخ‌های DNS مسموم برای توزیع به‌روزرسانی‌های نرم‌افزار مخرب به اهداف منتخب سوءاستفاده کرده است.

یک اکوسیستم گسترده‌تر از بازیگران AitM همسو با چین

Evasive Panda بخشی از چشم‌انداز وسیع‌تر گروه‌های تهدید همسو با چین است که برای توزیع بدافزار و جابجایی در شبکه‌ها به مسمومیت مبتنی بر AitM متکی هستند. تحلیلگران حداقل ده گروه فعال را شناسایی کرده‌اند که از رویکردهای مشابهی استفاده می‌کنند و تأکید می‌کنند که دستکاری DNS به یک تکنیک محبوب در این اکوسیستم تبدیل شده است.

به‌روزرسانی‌های نرم‌افزاریِ سلاح‌مانند به عنوان طعمه

در حملات ثبت‌شده، قربانیان با به‌روزرسانی‌های جعلی که خود را به‌عنوان نرم‌افزارهای شخص ثالث قانونی جا می‌زدند، فریب داده می‌شدند. یکی از طعمه‌های اصلی، به‌روزرسانی‌های جعلی برای SohuVA، یک برنامه پخش ویدئو از شرکت فناوری چینی Sohu، بود. به نظر می‌رسد این به‌روزرسانی از دامنه قانونی p2p.hd.sohu.com[.]cn سرچشمه گرفته است، که قویاً نشان می‌دهد در حالی که برنامه سعی در به‌روزرسانی فایل‌های باینری در دایرکتوری استاندارد خود در زیر appdata\roaming\shapp\7.0.18.0\package داشته، از مسمومیت DNS برای هدایت ترافیک به یک سرور مخرب استفاده شده است.

محققان همچنین کمپین‌های موازی را مشاهده کردند که از به‌روزرسانی‌های جعلی برای iQIYI Video شرکت Baidu، IObit Smart Defrag و Tencent QQ سوءاستفاده می‌کردند.

تحویل چند مرحله‌ای بار داده از طریق دامنه‌های مورد اعتماد

اجرای موفقیت‌آمیز به‌روزرسانی جعلی منجر به استقرار یک لودر اولیه شد که shellcode را اجرا می‌کرد. این shellcode یک payload رمزگذاری‌شده مرحله دوم را که در قالب یک تصویر PNG پنهان شده بود، بازیابی کرد، دوباره از طریق مسمومیت DNS، این بار با سوءاستفاده از دامنه قانونی dictionary.com.

مهاجمان، DNS resolution را دستکاری کردند تا dictionary.com به آدرس‌های IP تحت کنترل مهاجم تبدیل شود که به صورت انتخابی توسط موقعیت جغرافیایی و ISP قربانی تعیین می‌شوند. درخواست HTTP مورد استفاده برای دریافت این payload شامل نسخه ویندوز قربانی بود که احتمالاً مهاجمان را قادر می‌سازد اقدامات بعدی را با نسخه‌های خاص سیستم عامل تطبیق دهند. این هدف‌گیری انتخابی، تکرار استفاده قبلی این گروه از حملات watering hole، از جمله توزیع بدافزار macOS معروف به MACMA است.

چگونه ممکن است مسمومیت DNS رخ داده باشد؟

اگرچه روش دقیق مورد استفاده برای مسموم کردن پاسخ‌های DNS هنوز تأیید نشده است، اما محققان دو احتمال اصلی را مطرح می‌کنند:

• نفوذ گزینشی به ISPهای قربانی، که به طور بالقوه شامل پیاده‌سازی شبکه روی دستگاه‌های لبه‌ای برای دستکاری ترافیک DNS است.
• نفوذ مستقیم به روترها یا فایروال‌های موجود در محیط‌های قربانی برای تغییر پاسخ‌های DNS به صورت محلی.

زنجیره لودر پیشرفته و رمزگذاری سفارشی

فرآیند انتقال بدافزار در مرحله دوم عمداً پیچیده است. shellcode اولیه، یک payload مخصوص قربانی را رمزگشایی و اجرا می‌کند، رویکردی که گمان می‌رود با تولید یک فایل رمزگذاری شده منحصر به فرد برای هر هدف، تشخیص آن را کاهش می‌دهد.

یک لودر ثانویه، که خود را به عنوان libpython2.4.dll پنهان می‌کند، به بارگذاری جانبی یک python.exe تغییر نام داده شده و منسوخ شده متکی است. پس از اجرا، با خواندن از C:\ProgramData\Microsoft\eHome\perf.dat، payload مرحله بعدی را بازیابی و رمزگشایی می‌کند. این فایل حاوی بدافزاری است که ابتدا با XOR رمزگذاری شده، سپس رمزگشایی شده و در نهایت با استفاده از ترکیبی سفارشی از API حفاظت از داده‌های مایکروسافت (DPAPI) و الگوریتم RC5 دوباره رمزگذاری شده است. این طراحی تضمین می‌کند که payload فقط در سیستم قربانی اصلی قابل رمزگشایی است و به طور قابل توجهی رهگیری و تجزیه و تحلیل آفلاین را پیچیده می‌کند.

MgBot: یک ایمپلنت مخفی و توانمند

پس از رمزگشایی، این بدافزار به یک فرآیند svchost.exe قانونی تزریق می‌شود و خود را به عنوان گونه‌ای از درب پشتی MgBot نشان می‌دهد. این بدافزار ماژولار از طیف گسترده‌ای از عملکردهای جاسوسی پشتیبانی می‌کند، از جمله:

• جمع‌آوری و استخراج فایل
• ثبت ضربات کلید و برداشت اطلاعات از کلیپ‌بورد
• ضبط صدا
• سرقت اطلاعات کاربری ذخیره شده در مرورگر

این قابلیت‌ها مهاجمان را قادر می‌سازد تا دسترسی پنهانی و بلندمدت به سیستم‌های آسیب‌دیده را حفظ کنند.

یک تهدید در حال تکامل و مداوم

این کمپین، تکامل مداوم و پیچیدگی فنی Evasive Panda را برجسته می‌کند. این گروه با ترکیب مسمومیت DNS، جعل هویت برندهای معتبر، بارگذاری‌کننده‌های چندلایه و رمزگذاری متصل به سیستم، توانایی آشکاری در فرار از سدهای دفاعی و در عین حال حفظ دسترسی مداوم به اهداف با ارزش بالا نشان می‌دهد. این عملیات، نیاز به امنیت قوی‌تر DNS، اعتبارسنجی زنجیره تأمین و نظارت بر مکانیسم‌های به‌روزرسانی در محیط‌های حساس را تقویت می‌کند.