הצעת הנחה מרובה רישיונות
מסד נתונים של איומים דלתות אחוריות דלת אחורית של MgBot

דלת אחורית של MgBot

עד Mezo ב-דלתות אחוריות, איום מתמשך מתקדם (APT)
לתרגם ל:

מבצע מתוחכם של איום מתמשך מתקדם (APT) בשיתוף פעולה עם סין יוחס לקמפיין ריגול סייבר ארוך שנים שניצל לרעה את תשתית מערכת שמות המתחם (DNS) כדי לספק את הדלת האחורית של MgBot. הקמפיין התמקד בקורבנות שנבחרו בקפידה בטורקיה, סין והודו, ונשאר פעיל מנובמבר 2022 עד נובמבר 2024.

היריב שמאחורי המבצע

הפעילות נקשרה לגורם האיום המוכר בשם Evasive Panda, המנוקב גם תחת השמות Bronze Highland, Daggerfly ו-StormBamboo. קבוצה זו הוערכה כפעילה מאז 2012 לפחות והיא ידועה בפריצות ממוקדות ביותר ולא בהתקפות רחבות היקף ואופורטוניסטיות.

יריב באמצע כטקטיקה מרכזית

בלב הקמפיין עמד השימוש בטכניקות של "אויב באמצע" (AitM). התוקפים ביצעו מניפולציות בתגובות DNS כך שהקורבנות הופנו בשקט לתשתית תחת שליטתם. טועני תוכנות זדוניות הוצבו במיקומי קבצים מדויקים, בעוד שרכיבים מוצפנים אוחסנו בשרתים הנשלטים על ידי התוקף וסופקו רק בתגובה לשאילתות DNS ספציפיות הקשורות לאתרים לגיטימיים.

דפוס של שימוש לרעה בהרעלת DNS

קמפיין זה אינו מקרה בודד. חברת Evasive Panda הפגינה שוב ושוב מומחיות בהרעלת DNS. מחקר קודם הדגיש טקטיקות דומות באפריל 2023, כאשר הקבוצה ככל הנראה מינפה פגיעה בשרשרת האספקה או מתקפת AitM כדי להפיץ גרסאות טרויאניות של תוכנה מהימנה, כמו Tencent QQ, נגד ארגון לא ממשלתי בינלאומי בסין היבשתית.

באוגוסט 2024, דיווחים נוספים חשפו כי הקבוצה פרצה ספק שירותי אינטרנט (ISP) אנונימי, תוך ניצול לרעה של תגובות DNS מורעלות כדי להפיץ עדכוני תוכנה זדוניים ליעדים נבחרים.

מערכת אקולוגית רחבה יותר של גורמי AitM הקשורים לסין

פנדה חמקנית היא חלק מנוף רחב יותר של קבוצות איום הקשורות לסין, המסתמכות על הרעלה מבוססת AitM לצורך העברה ותנועה של תוכנות זדוניות בתוך רשתות. אנליסטים זיהו לפחות עשר קבוצות פעילות המשתמשות בגישות דומות, מה שמדגיש כי מניפולציה של DNS הפכה לטכניקה מועדפת במערכת אקולוגית זו.

עדכוני תוכנה חמושים כפיתיונים

בפריצות המתועדות, הקורבנות פותו לעדכונים מזויפים שהתחזו לתוכנות צד שלישי לגיטימיות. פיתוי בולט אחד התחזה לעדכונים עבור SohuVA, אפליקציית הזרמת וידאו של חברת הטכנולוגיה הסינית Sohu. נראה כי העדכון הגיע מהדומיין הלגיטימי p2p.hd.sohu.com[.]cn, דבר המצביע על כך שהרעלת DNS שימשה להפניית תעבורה לשרת זדוני בזמן שהאפליקציה ניסתה לעדכן קבצים בינאריים בספרייה הסטנדרטית שלה תחת appdata\roaming\shapp\7.0.18.0\package.

חוקרים גם הבחינו בקמפיינים מקבילים שעשו שימוש לרעה בעדכון אפליקציות מזויפות עבור iQIYI Video, IObit Smart Defrag ו-Tencent QQ של Baidu.

אספקת מטען רב-שלבית דרך דומיינים מהימנים

ביצוע מוצלח של העדכון המזויף הוביל לפריסה של טוען ראשוני שהפעיל shellcode. shellcode זה אחזר מטען מוצפן של שלב שני שהוסווה כתמונת PNG, שוב באמצעות הרעלת DNS, הפעם תוך ניצול לרעה של הדומיין הלגיטימי dictionary.com.

התוקפים ביצעו מניפולציות ברזולוציית DNS כך ש-dictionary.com ניתב לכתובות IP הנשלטות על ידי התוקף, שנקבעו באופן סלקטיבי על ידי המיקום הגיאוגרפי וספק האינטרנט של הקורבן. בקשת ה-HTTP ששימשה לאחזור מטען זה כללה את גרסת Windows של הקורבן, מה שאפשר ככל הנראה לתוקפים להתאים פעולות המשך למערכות הפעלה ספציפיות. מיקוד סלקטיבי זה משקף את השימוש הקודם של הקבוצה במתקפות "Watering Hole", כולל הפצת תוכנה זדונית של macOS המכונה MACMA.

כיצד ייתכן שהושגה הרעלת ה-DNS

למרות שהשיטה המדויקת ששימשה להרעלת תגובות DNS נותרה לא מאומתת, החוקרים חושדים בשתי אפשרויות עיקריות:

  • פשרה סלקטיבית של ספקי אינטרנט של הקורבן, שעשויה לכלול השתלות רשת במכשירי קצה כדי לתמרן את תעבורת ה-DNS.
  • פשרה ישירה של נתבים או חומות אש בתוך סביבות הקורבן כדי לשנות תגובות DNS באופן מקומי.

שרשרת טוען מתוחכמת והצפנה מותאמת אישית

תהליך העברת התוכנה הזדונית בשלב השני מורכב במכוון. קוד ההגנה הראשוני מפענח ומפעיל מטען ספציפי לקורבן, גישה שנחשבת כמקצרת את הגילוי על ידי יצירת קובץ מוצפן ייחודי עבור כל מטרה.

טוען משני, במסווה של libpython2.4.dll, מסתמך על טעינה צדדית של python.exe מיושן ושמו שונה. לאחר ההפעלה, הוא מאחזר ומפענח את המטען של השלב הבא על ידי קריאה מ-C:\ProgramData\Microsoft\eHome\perf.dat. קובץ זה מכיל תוכנה זדונית שהוצפנתה תחילה באמצעות XOR, לאחר מכן פוענחה, ולבסוף הוצפנה מחדש באמצעות היברידית מותאמת אישית של ממשק ה-API להגנה על נתונים (DPAPI) של מיקרוסופט ואלגוריתם RC5. עיצוב זה מבטיח שניתן לפענח את המטען רק במערכת הקורבן המקורית, מה שמסבך משמעותית את היירוט והניתוח הלא מקוון.

MgBot: שתל חשאי ובעל יכולות

לאחר הפענוח, המטען מוזרק לתהליך svchost.exe לגיטימי, וחושף את עצמו כגרסה של הדלת האחורית MgBot. שתל מודולרי זה תומך במגוון רחב של פונקציות ריגול, כולל:

  • איסוף וחילוץ קבצים
  • רישום הקשות מקשים ואיסוף לוח כתיבה
  • הקלטת שמע
  • גניבת פרטי גישה המאוחסנים בדפדפן

יכולות אלו מאפשרות לתוקפים לשמור על גישה חשאית וארוכה למערכות פגועות.

איום מתפתח ומתמשך

קמפיין זה מדגיש את ההתפתחות המתמשכת והתחכום הטכני של Evasive Panda. על ידי שילוב של הרעלת DNS, התחזות למותג מהימן, טוענים רב-שכבתיים והצפנה מבוססת מערכת, הקבוצה מדגימה יכולת ברורה להתחמק מהגנות תוך שמירה על גישה מתמשכת למטרות בעלות ערך גבוה. המבצע מחזק את הצורך באבטחת DNS חזקה יותר, אימות שרשרת אספקה וניטור מנגנוני עדכון בסביבות רגישות.

מגמות

Search.ansiblealgorithm.com

אתרים נוכלים, חוטפי דפדפן, תוכניות שעלולות להיות לא רצויות
בנוף האיומים של ימינו, הגנה על המערכת שלך מפני תוכנות פולשניות ולא אמינות חשובה לא פחות מהגנה מפני תוכנות זדוניות גלויות. תוכנות פוטנציאליות לא רצויות (PUPs) פועלות לעתים קרובות באזור אפור: הן...

התראה חשובה על הונאת דוא"ל בחשבון מיקרוסופט שלך

פישינג, ספאם
מיילים בלתי צפויים הדורשים טיפול דחוף הם נשק מועדף על פושעי סייבר. אי אפשר להדגיש מספיק עד כמה חשוב להישאר ערניים כאשר הודעות צצות משום מקום, במיוחד כאלה המזהירות מפני בעיות בחשבון או מסמכים שפורסמו לאחרונה. איום אחד כזה שמסתובב ברשת הוא הונאת הדוא"ל 'חשבוניות משוחררות', קמפיין מטעה שנועד לנצל אמון ולגנוב מידע רגיש. מיילים אלה אינם קשורים לחברות, ארגונים או ישויות לגיטימיות, למרות מה...

הכי נצפה

תוכנה זדונית

פישינג, ספאם
29,658
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...