Ponuda s popustom na više licenci
Baza prijetnji Stražnja vrata MgBot Stražnja vrata

MgBot Stražnja vrata

Do Mezo. Stražnja vrata, Napredna trajna prijetnja (APT). godine
Prevedi na:

Sofisticirana, s Kinom usklađena operacija naprednih trajnih prijetnji (APT) pripisuje se dugotrajnoj kampanji kibernetičke špijunaže koja je zloupotrijebila infrastrukturu Sustava domenskih imena (DNS) za isporuku MgBot backdoora. Kampanja se usredotočila na pažljivo odabrane žrtve u Turskoj, Kini i Indiji, a ostala je aktivna od studenog 2022. do studenog 2024.

Protivnik iza operacije

Aktivnost je povezana s prijetnjom široko poznatom kao Evasive Panda, koja se prati i pod imenima Bronze Highland, Daggerfly i StormBamboo. Procijenjeno je da ova skupina djeluje najmanje od 2012. godine i poznata je po visoko ciljanim upadima, a ne po širokim, oportunističkim napadima.

Protivnik u sredini kao ključna taktika

U središtu kampanje bilo je korištenje tehnika protivnika u sredini (AitM). Napadači su manipulirali DNS odgovorima tako da su žrtve tiho preusmjerene na infrastrukturu pod njihovom kontrolom. Programi za učitavanje zlonamjernog softvera bili su smješteni na precizne lokacije datoteka, dok su šifrirane komponente bile smještene na poslužiteljima pod kontrolom napadača i isporučivane su samo kao odgovor na određene DNS upite povezane s legitimnim web stranicama.

Uzorak zloupotrebe DNS-a trovanjem

Ova kampanja nije izolirani slučaj. Evasive Panda je više puta pokazao stručnost u trovanju DNS-a. Ranija istraživanja istaknula su slične taktike u travnju 2023., kada je grupa vjerojatno iskoristila ili kompromitiranje lanca opskrbe ili AitM napad kako bi distribuirala trojanske verzije pouzdanog softvera, poput Tencent QQ, protiv međunarodne nevladine organizacije u kontinentalnoj Kini.

U kolovozu 2024. daljnja izvješća otkrila su da je skupina kompromitirala neimenovanog davatelja internetskih usluga (ISP), zlorabeći zatrovane DNS odgovore za distribuciju ažuriranja zlonamjernog softvera odabranim ciljevima.

Širi ekosustav aktera AitM-a usklađenih s Kinom

Evasive Panda dio je šireg kruga prijetnji povezanih s Kinom koje se oslanjaju na trovanje temeljeno na AitM-u za isporuku i kretanje zlonamjernog softvera unutar mreža. Analitičari su identificirali najmanje deset aktivnih skupina koje koriste slične pristupe, naglašavajući da je manipulacija DNS-om postala omiljena tehnika unutar ovog ekosustava.

Ažuriranja softvera s oružjem kao mamac

U dokumentiranim upadima, žrtve su namamljene lažnim ažuriranjima maskiranim kao legitimni softver treće strane. Jedan istaknuti mamac lažno je predstavljao ažuriranja za SohuVA, aplikaciju za streaming videa kineske tehnološke tvrtke Sohu. Čini se da ažuriranje potječe s legitimne domene p2p.hd.sohu.com[.]cn, što snažno sugerira da je trovanje DNS-a korišteno za preusmjeravanje prometa na zlonamjerni poslužitelj dok je aplikacija pokušavala ažurirati binarne datoteke u svom standardnom direktoriju pod appdata\roaming\shapp\7.0.18.0\package.

Istraživači su također primijetili paralelne kampanje koje su zloupotrijebile lažne programe za ažuriranje Baiduovih iQIYI Video, IObit Smart Defrag i Tencent QQ.

Višefazna isporuka korisnog tereta putem pouzdanih domena

Uspješno izvršavanje lažnog ažuriranja dovelo je do postavljanja početnog programa za učitavanje koji je pokrenuo shellcode. Ovaj shellcode dohvatio je šifrirani teret druge faze prikriven kao PNG sliku, ponovno putem DNS trovanja, ovaj put zlouporabom legitimne domene dictionary.com.

Napadači su manipulirali DNS razlučivanjem tako da se dictionary.com razrješavao na IP adrese koje kontrolira napadač, selektivno određene prema geografskoj lokaciji žrtve i davatelju internetskih usluga. HTTP zahtjev korišten za dohvaćanje ovog sadržaja uključivao je verziju sustava Windows žrtve, što je vjerojatno omogućilo napadačima da prilagode daljnje radnje određenim verzijama operativnog sustava. Ovo selektivno ciljanje odražava prethodnu upotrebu napada "watering hole" od strane grupe, uključujući distribuciju zlonamjernog softvera za macOS poznatog kao MACMA.

Kako je moglo doći do trovanja DNS-a

Iako precizna metoda korištena za trovanje DNS odgovora ostaje nepotvrđena, istražitelji sumnjaju na dvije glavne mogućnosti:

  • Selektivno kompromitiranje ISP-ova žrtve, potencijalno uključujući mrežne implantate na rubnim uređajima za manipuliranje DNS prometom.
  • Izravno kompromitiranje usmjerivača ili vatrozidova unutar okruženja žrtve radi lokalne promjene DNS odgovora.

Sofisticirani lanac učitavanja i prilagođeno šifriranje

Proces isporuke zlonamjernog softvera u drugoj fazi namjerno je složen. Početni shellcode dešifrira i izvršava sadržaj specifičan za žrtvu, pristup za koji se vjeruje da smanjuje otkrivanje generiranjem jedinstvene šifrirane datoteke za svaku metu.

Sekundarni program za učitavanje, prikriven kao libpython2.4.dll, oslanja se na bočno učitavanje preimenovane, zastarjele datoteke python.exe. Nakon izvršenja, dohvaća i dešifrira sljedeću datoteku čitajući iz C:\ProgramData\Microsoft\eHome\perf.dat. Ova datoteka sadrži zlonamjerni softver koji je prvo XOR šifriran, zatim dešifriran i na kraju ponovno šifriran pomoću prilagođenog hibrida Microsoftovog Data Protection API-ja (DPAPI) i RC5 algoritma. Ovaj dizajn osigurava da se sadržaj može dešifrirati samo na izvornom sustavu žrtve, što značajno komplicira presretanje i izvanmrežnu analizu.

MgBot: Neprimjetan i sposoban implantat

Nakon dešifriranja, korisni teret se ubrizgava u legitimni proces svchost.exe, otkrivajući se kao varijanta MgBot backdoora. Ovaj modularni implant podržava širok raspon špijunskih funkcija, uključujući:

  • Prikupljanje i eksfiltracija datoteka
  • Bilježenje pritiska tipki i prikupljanje podataka iz međuspremnika
  • Snimanje zvuka
  • Krađa vjerodajnica pohranjenih u pregledniku

Ove mogućnosti omogućuju napadačima dugoročan, prikriveni pristup kompromitiranim sustavima.

Prijetnja koja se razvija i koja je trajna

Ova kampanja ističe kontinuiranu evoluciju i tehničku sofisticiranost Evasive Pande. Kombiniranjem DNS trovanja, lažnog predstavljanja pouzdanog brenda, višeslojnih učitavača i šifriranja vezanog uz sustav, grupa pokazuje jasnu sposobnost izbjegavanja obrane uz održavanje trajnog pristupa visokovrijednim ciljevima. Operacija pojačava potrebu za jačom DNS sigurnošću, validacijom lanca opskrbe i praćenjem mehanizama ažuriranja u osjetljivim okruženjima.

U trendu

Važno upozorenje o prijevari putem e-pošte za vaš...

Krađa identiteta, Spam
Neočekivane e-poruke koje zahtijevaju hitnu pažnju omiljeno su oružje kibernetičkih kriminalaca. Ne može se dovoljno naglasiti koliko je važno ostati oprezan kada se poruke pojave niotkuda, posebno one koje upozoravaju na probleme s računom ili novo objavljene dokumente. Jedna takva prijetnja koja kruži internetom je prijevara e-poštom 'Računi se objavljuju', obmanjujuća kampanja osmišljena za...

Nagledanije

Učitavam...