Monen lisenssin alennustarjous
Uhatietokanta Takaovet MgBot-takaovi

MgBot-takaovi

Vuonna Mezo vuonna Takaovet, Advanced Persistent Threat (APT)
Käännä:

Hienostunut, Kiinan kanssa liittoutunut edistyneen pysyvän uhan (APT) operaatio on yhdistetty pitkään jatkuneeseen kybervakoilukampanjaan, jossa käytettiin väärin nimipalvelun (DNS) infrastruktuuria MgBot-takaoven toimittamiseen. Kampanja keskittyi huolellisesti valittuihin uhreihin Turkissa, Kiinassa ja Intiassa, ja se pysyi aktiivisena marraskuusta 2022 marraskuuhun 2024.

Operaation takana oleva vastustaja

Toiminta on yhdistetty uhkatoimijaan, joka tunnetaan laajalti nimellä Evasive Panda, jota seurataan myös nimillä Bronze Highland, Daggerfly ja StormBamboo. Tämän ryhmän on arvioitu olleen toiminnassa ainakin vuodesta 2012 lähtien, ja se tunnetaan erittäin kohdennetuista tunkeutumisista laajojen, opportunististen hyökkäysten sijaan.

Keskellä oleva vastustaja ydintaktiikkana

Kampanjan ytimessä oli väliintulotekniikoiden (AitM) käyttö. Hyökkääjät manipuloivat DNS-vastauksia siten, että uhrit ohjattiin hiljaisesti heidän hallitsemaansa infrastruktuuriin. Haittaohjelmien lataajat sijoitettiin tarkkoihin tiedostopaikkoihin, kun taas salatut komponentit sijaitsivat hyökkääjän hallitsemilla palvelimilla ja toimitettiin vain vastauksena tiettyihin DNS-kyselyihin, jotka olivat yhteydessä laillisiin verkkosivustoihin.

DNS-myrkytyksen väärinkäytön malli

Tämä kampanja ei ole yksittäistapaus. Evasive Panda on toistuvasti osoittanut asiantuntemustaan DNS-myrkytyksessä. Aiempi tutkimus toi esiin samankaltaisia taktiikoita huhtikuussa 2023, jolloin ryhmä todennäköisesti hyödynsi joko toimitusketjun vaarantamista tai AitM-hyökkäystä levittääkseen luotettavien ohjelmistojen, kuten Tencent QQ:n, troijalaisia versioita kansainvälistä kansalaisjärjestöä vastaan Manner-Kiinassa.

Elokuussa 2024 lisäraportit paljastivat, että ryhmä oli vaarantanut nimeämättömän internet-palveluntarjoajan (ISP) ja väärinkäyttänyt saastutettuja DNS-vastauksia levittääkseen haittaohjelmapäivityksiä valituille kohteille.

Laajempi Kiinan kanssa liittoutuneiden AitM-toimijoiden ekosysteemi

Evasive Panda on osa laajempaa Kiinaan liittoutuneiden uhkaryhmien joukkoa, jotka käyttävät AitM-pohjaista myrkytystekniikkaa haittaohjelmien toimittamiseen ja liikkumiseen verkoissa. Analyytikot ovat tunnistaneet ainakin kymmenen aktiivista ryhmää, jotka käyttävät samankaltaisia lähestymistapoja, mikä korostaa, että DNS-manipuloinnista on tullut suosittu tekniikka tässä ekosysteemissä.

Aseistetut ohjelmistopäivitykset vieheinä

Dokumentoiduissa tunkeutumisissa uhreja houkuteltiin väärennetyillä päivityksillä, jotka naamioituivat laillisiksi kolmannen osapuolen ohjelmistoiksi. Yksi näkyvä houkutin jäljitteli kiinalaisen teknologiayrityksen Sohun videoiden suoratoistosovelluksen SohuVA-päivityksiä. Päivitys näytti olevan peräisin laillisesta verkkotunnuksesta p2p.hd.sohu.com[.]cn, mikä viittaa vahvasti siihen, että DNS-myrkytystietoja käytettiin liikenteen uudelleenohjaamiseen haitalliselle palvelimelle, kun sovellus yritti päivittää binääritiedostoja vakiohakemistossaan appdata\roaming\shapp\7.0.18.0\package-hakemistossa.

Tutkijat havaitsivat myös rinnakkaisia kampanjoita, joissa käytettiin väärin tekaistuja päivitystyökaluja Baidu's iQIYI Videolle, IObit Smart Defragille ja Tencent QQ:lle.

Monivaiheinen hyötykuorman toimitus luotettujen verkkotunnusten kautta

Valepäivityksen onnistunut suorittaminen johti alkulataajan käyttöönottoon, joka käynnisti komentokoodin. Tämä komentokoodi haki salatun toisen vaiheen hyötykuorman, joka oli naamioitu PNG-kuvaksi, jälleen DNS-myrkytysmenetelmällä ja tällä kertaa väärinkäyttäen laillista dictionary.com-verkkotunnusta.

Hyökkääjät manipuloivat DNS-selvitystä siten, että dictionary.com-osoite selvitettiin hyökkääjän hallitsemille IP-osoitteille, jotka määritettiin valikoivasti uhrin maantieteellisen sijainnin ja internet-palveluntarjoajan perusteella. Tämän hyötykuorman hakemiseen käytetty HTTP-pyyntö sisälsi uhrin Windows-version, minkä ansiosta hyökkääjät todennäköisesti pystyivät räätälöimään jatkotoimia tiettyjen käyttöjärjestelmäversioiden mukaan. Tämä valikoiva kohdistus heijastelee ryhmän aiempaa käyttöä erikoishyökkäyksissä, mukaan lukien macOS-haittaohjelman MACMA levittäminen.

Miten DNS-myrkytys on saatettu saavuttaa

Vaikka tarkkaa menetelmää DNS-vastausten myrkyttämiseksi ei ole vahvistettu, tutkijat epäilevät kahta ensisijaista mahdollisuutta:

  • Uhri-internet-palveluntarjoajien valikoiva vaarantaminen, mahdollisesti reunalaitteisiin asennettujen verkkojen implantointi DNS-liikenteen manipuloimiseksi.
  • Reitittimien tai palomuurien suora vaarantaminen uhriympäristöissä DNS-vastausten muuttamiseksi paikallisesti.

Hienostunut latausketju ja mukautettu salaus

Haittaohjelmien toisen vaiheen toimitusprosessi on tarkoituksella monimutkainen. Alkuperäinen komentotulkkikoodi purkaa salauksen ja suorittaa uhrikohtaisen hyötykuorman, minkä uskotaan vähentävän havaitsemista luomalla jokaiselle kohteelle yksilöllisen salatun tiedoston.

Toissijainen lataaja, joka on naamioitu libpython2.4.dll-tiedostoksi, lataa sivulatauksena uudelleen nimetyn, vanhentuneen python.exe-tiedoston. Suorittamisen jälkeen se hakee ja purkaa seuraavan vaiheen hyötykuorman lukemalla tiedostosta C:\ProgramData\Microsoft\eHome\perf.dat. Tämä tiedosto sisältää haittaohjelman, joka ensin XOR-salattiin, sitten purettiin ja lopuksi salattiin uudelleen käyttämällä Microsoftin Data Protection API:n (DPAPI) ja RC5-algoritmin mukautettua hybridiä. Tämä rakenne varmistaa, että hyötykuorma voidaan purkaa vain alkuperäisessä uhrijärjestelmässä, mikä vaikeuttaa merkittävästi sieppausta ja offline-analyysia.

MgBot: Hiiviskelyä ja kyvykästä implanttia

Salauksen purkamisen jälkeen hyötykuorma ruiskutetaan lailliseen svchost.exe-prosessiin, joka paljastaa itsensä MgBot-takaportin muunnelmaksi. Tämä modulaarinen implantti tukee laajaa valikoimaa vakoilutoimintoja, mukaan lukien:

  • Tiedostojen kerääminen ja purkaminen
  • Näppäinpainallusten kirjaaminen ja leikepöydän keruu
  • Äänitallennus
  • Selaimen tallentamien tunnistetietojen varastaminen

Näiden ominaisuuksien avulla hyökkääjät voivat ylläpitää pitkäaikaista, peiteltyä pääsyä vaarantuneisiin järjestelmiin.

Kehittyvä ja pysyvä uhka

Tämä kampanja korostaa Evasive Pandan jatkuvaa kehitystä ja teknistä hienostuneisuutta. Yhdistämällä DNS-myrkytysmenetelmät, luotettujen tuotemerkkien imitoinnin, monikerroksiset latausohjelmat ja järjestelmäkohtaisen salauksen ryhmä osoittaa selkeän kyvyn kiertää puolustusmekanismeja ja samalla ylläpitää jatkuvaa pääsyä arvokkaisiin kohteisiin. Operaatio vahvistaa tarvetta vahvemmalle DNS-turvallisuudelle, toimitusketjun validoinnille ja päivitysmekanismien valvonnalle herkissä ympäristöissä.

Trendaavat

Tärkeä varoitus Microsoft-tilisi sähköpostihuijauksesta

Tietojenkalastelu, Roskaposti
Odottamattomat sähköpostit, jotka vaativat kiireellistä huomiota, ovat kyberrikollisten lempiase. On mahdotonta korostaa liikaa, kuinka tärkeää on pysyä valppaana, kun viestejä ilmestyy yllättäen, erityisesti sellaisia, jotka varoittavat tiliongelmista tai äskettäin julkaistuista asiakirjoista. Yksi tällainen verkossa liikkuva uhka on "Invoices Are Being Released" -sähköpostihuijaus,...

Eniten katsottu

Ladataan...