MgBot Backdoor

चीन समर्थित एक परिष्कृत उन्नत निरंतर खतरे (एपीटी) अभियान को एक दीर्घकालिक साइबर जासूसी अभियान का हिस्सा माना जा रहा है, जिसने एमजीबॉट बैकडोर पहुंचाने के लिए डोमेन नेम सिस्टम (डीएनएस) बुनियादी ढांचे का दुरुपयोग किया। यह अभियान चीन के तुर्की और भारत में सावधानीपूर्वक चयनित पीड़ितों पर केंद्रित था और नवंबर 2022 से नवंबर 2024 तक सक्रिय रहा।

इस अभियान के पीछे का विरोधी

इस गतिविधि का संबंध इवेसिव पांडा नामक एक कुख्यात समूह से है, जिसे ब्रॉन्ज़ हाईलैंड, डैगरफ्लाई और स्टॉर्मबैम्बू जैसे अन्य नामों से भी जाना जाता है। यह समूह कम से कम 2012 से सक्रिय माना जाता है और व्यापक, अवसरवादी हमलों के बजाय लक्षित घुसपैठ के लिए जाना जाता है।

मध्य में शत्रु को रखना एक प्रमुख रणनीति के रूप में

इस अभियान का मुख्य आधार एडवर्सरी-इन-द-मिडल (AitM) तकनीक का इस्तेमाल था। हमलावरों ने DNS प्रतिक्रियाओं में हेरफेर किया ताकि पीड़ितों को चुपचाप उनके नियंत्रण वाले इंफ्रास्ट्रक्चर पर रीडायरेक्ट किया जा सके। मैलवेयर लोडर को सटीक फ़ाइल स्थानों पर रखा गया था, जबकि एन्क्रिप्टेड कंपोनेंट हमलावर-नियंत्रित सर्वरों पर होस्ट किए गए थे और केवल वैध वेबसाइटों से जुड़े विशिष्ट DNS प्रश्नों के जवाब में ही वितरित किए जाते थे।

डीएनएस विषाक्तता दुरुपयोग का एक पैटर्न

यह अभियान कोई अलग-थलग घटना नहीं है। इवेसिव पांडा ने DNS पॉइज़निंग में बार-बार अपनी विशेषज्ञता का प्रदर्शन किया है। इससे पहले के शोध में अप्रैल 2023 में इसी तरह की रणनीति पर प्रकाश डाला गया था, जब समूह ने संभवतः आपूर्ति श्रृंखला में सेंधमारी या एआईटीएम हमले का लाभ उठाकर चीन में एक अंतरराष्ट्रीय गैर-सरकारी संगठन के खिलाफ टेनसेंट क्यूक्यू जैसे विश्वसनीय सॉफ़्टवेयर के ट्रोजनयुक्त संस्करणों को वितरित किया था।

अगस्त 2024 में, आगे की रिपोर्टिंग से पता चला कि समूह ने एक अज्ञात इंटरनेट सेवा प्रदाता (आईएसपी) को हैक कर लिया था, और दूषित डीएनएस प्रतिक्रियाओं का दुरुपयोग करके चयनित लक्ष्यों को दुर्भावनापूर्ण सॉफ़्टवेयर अपडेट वितरित किए थे।

चीन से जुड़े एआईटीएम अभिनेताओं का एक व्यापक पारिस्थितिकी तंत्र

इवेसिव पांडा चीन समर्थित उन कई खतरनाक समूहों का हिस्सा है जो मैलवेयर पहुंचाने और नेटवर्क में फैलाने के लिए एआईटीएम (AitM) आधारित तकनीकों का इस्तेमाल करते हैं। विश्लेषकों ने ऐसे कम से कम दस सक्रिय समूहों की पहचान की है जो इसी तरह के तरीकों का उपयोग कर रहे हैं, जिससे यह स्पष्ट होता है कि इस इकोसिस्टम में DNS में हेरफेर करना एक पसंदीदा तकनीक बन गई है।

प्रलोभन के रूप में हथियारबंद सॉफ्टवेयर अपडेट

दस्तावेजी तौर पर दर्ज घुसपैठों में, पीड़ितों को वैध तृतीय-पक्ष सॉफ़्टवेयर के रूप में नकली अपडेट दिखाकर लुभाया गया। एक प्रमुख प्रलोभन चीनी प्रौद्योगिकी कंपनी सोहू के वीडियो स्ट्रीमिंग एप्लिकेशन सोहूवीए के अपडेट का रूप धारण करना था। अपडेट वैध डोमेन p2p.hd.sohu.com[.]cn से उत्पन्न होता प्रतीत हुआ, जिससे यह स्पष्ट रूप से संकेत मिलता है कि DNS पॉइज़निंग का उपयोग ट्रैफ़िक को एक दुर्भावनापूर्ण सर्वर पर पुनर्निर्देशित करने के लिए किया गया था, जबकि एप्लिकेशन अपने मानक निर्देशिका appdata\roaming\shapp\7.0.18.0\package में बाइनरी फ़ाइलों को अपडेट करने का प्रयास कर रहा था।

शोधकर्ताओं ने Baidu के iQIYI वीडियो, IObit स्मार्ट डीफ़्रैग और Tencent QQ के लिए नकली अपडेटर का दुरुपयोग करने वाले समानांतर अभियानों को भी देखा।

विश्वसनीय डोमेन के माध्यम से बहु-चरणीय पेलोड वितरण

नकली अपडेट के सफल निष्पादन से एक प्रारंभिक लोडर तैनात हुआ जिसने शेलकोड लॉन्च किया। इस शेलकोड ने DNS पॉइज़निंग के माध्यम से, वैध डोमेन dictionary.com का दुरुपयोग करते हुए, एक PNG छवि के रूप में छिपा हुआ एन्क्रिप्टेड द्वितीय-चरण पेलोड प्राप्त किया।

हमलावरों ने DNS रिजॉल्यूशन में हेरफेर किया ताकि dictionary.com हमलावरों द्वारा नियंत्रित IP पतों पर रिज़ॉल्व हो सके, जिन्हें पीड़ित के भौगोलिक स्थान और ISP के आधार पर चुना गया था। इस पेलोड को प्राप्त करने के लिए उपयोग किए गए HTTP अनुरोध में पीड़ित का विंडोज संस्करण शामिल था, जिससे संभवतः हमलावरों को विशिष्ट ऑपरेटिंग सिस्टम बिल्ड के अनुसार आगे की कार्रवाई करने में मदद मिली। यह चयनात्मक लक्ष्यीकरण समूह द्वारा पहले किए गए वॉटरिंग होल हमलों की याद दिलाता है, जिसमें MACMA नामक macOS मैलवेयर का वितरण भी शामिल है।

डीएनएस पॉइज़निंग किस प्रकार की गई होगी?

हालांकि डीएनएस प्रतिक्रियाओं को दूषित करने के लिए इस्तेमाल की गई सटीक विधि की पुष्टि नहीं हुई है, लेकिन जांचकर्ताओं को दो मुख्य संभावनाओं पर संदेह है:

• पीड़ित इंटरनेट सेवा प्रदाताओं (आईएसपी) का चयनात्मक रूप से समझौता करना, जिसमें डीएनएस ट्रैफ़िक में हेरफेर करने के लिए एज डिवाइसों पर नेटवर्क इम्प्लांट शामिल हो सकते हैं।
• पीड़ित के वातावरण में राउटर या फायरवॉल को सीधे तौर पर हैक करके स्थानीय स्तर पर DNS प्रतिक्रियाओं को बदलना।

परिष्कृत लोडर चेन और कस्टम एन्क्रिप्शन

मालवेयर पहुंचाने की दूसरी चरण की प्रक्रिया जानबूझकर जटिल बनाई गई है। प्रारंभिक शेलकोड पीड़ित के लिए विशिष्ट पेलोड को डिक्रिप्ट और निष्पादित करता है, ऐसा माना जाता है कि यह तरीका प्रत्येक लक्ष्य के लिए एक अद्वितीय एन्क्रिप्टेड फ़ाइल बनाकर पहचान की संभावना को कम करता है।

एक सेकेंडरी लोडर, जो libpython2.4.dll के रूप में छिपा हुआ है, पुराने नाम वाले python.exe को साइडलोड करके काम करता है। एक बार चलने के बाद, यह C:\ProgramData\Microsoft\eHome\perf.dat फ़ाइल से अगले चरण के पेलोड को प्राप्त करता है और उसे डिक्रिप्ट करता है। इस फ़ाइल में मैलवेयर होता है जिसे पहले XOR एन्क्रिप्ट किया गया, फिर डिक्रिप्ट किया गया और अंत में Microsoft के डेटा प्रोटेक्शन API (DPAPI) और RC5 एल्गोरिदम के एक विशेष हाइब्रिड का उपयोग करके पुनः एन्क्रिप्ट किया गया। यह डिज़ाइन सुनिश्चित करता है कि पेलोड को केवल मूल पीड़ित सिस्टम पर ही डिक्रिप्ट किया जा सके, जिससे अवरोधन और ऑफ़लाइन विश्लेषण काफी जटिल हो जाता है।

एमजीबॉट: एक गुप्त और सक्षम प्रत्यारोपण

डिक्रिप्शन के बाद, पेलोड को एक वैध svchost.exe प्रक्रिया में इंजेक्ट किया जाता है, जिससे यह MgBot बैकडोर के एक प्रकार के रूप में प्रकट होता है। यह मॉड्यूलर इम्प्लांट जासूसी कार्यों की एक विस्तृत श्रृंखला का समर्थन करता है, जिनमें शामिल हैं:

• फ़ाइल संग्रह और निष्कासन
• कीस्ट्रोक लॉगिंग और क्लिपबोर्ड हार्वेस्टिंग
• ऑडियो रिकॉर्डिंग
• ब्राउज़र में संग्रहीत क्रेडेंशियल्स की चोरी

इन क्षमताओं के कारण हमलावरों को प्रभावित प्रणालियों तक लंबे समय तक गुप्त रूप से पहुंच बनाए रखने में मदद मिलती है।

एक विकसित होता और निरंतर बना रहने वाला खतरा

यह अभियान इवेसिव पांडा के निरंतर विकास और तकनीकी दक्षता को दर्शाता है। DNS पॉइज़निंग, विश्वसनीय ब्रांड प्रतिरूपण, बहुस्तरीय लोडर और सिस्टम-आधारित एन्क्रिप्शन को मिलाकर, यह समूह उच्च-मूल्य वाले लक्ष्यों तक निरंतर पहुँच बनाए रखते हुए सुरक्षा प्रणालियों को चकमा देने की अपनी स्पष्ट क्षमता प्रदर्शित करता है। यह ऑपरेशन संवेदनशील वातावरणों में मजबूत DNS सुरक्षा, आपूर्ति श्रृंखला सत्यापन और अद्यतन तंत्रों की निगरानी की आवश्यकता को रेखांकित करता है।