Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Hátsó ajtók MgBot hátsó ajtó

MgBot hátsó ajtó

Mezo -ra Hátsó ajtók, Advanced Persistent Threat (APT)-ben
Fordítás ide:

Egy kifinomult, Kínával együttműködő, fejlett perzisztens fenyegetés (APT) elleni műveletet egy régóta tartó kiberkémkedési kampányhoz kötnek, amely a domainnév-rendszer (DNS) infrastruktúráját használta fel az MgBot hátsó ajtó eljuttatására. A kampány gondosan kiválasztott áldozatokra összpontosított Törökországban, Kínában és Indiában, és 2022 novemberétől 2024 novemberéig aktív maradt.

Az ellenség a hadművelet mögött

A tevékenységet az Evasive Panda néven ismert fenyegető szereplőhöz kötötték, akit Bronze Highland, Daggerfly és StormBamboo néven is követtek nyomon. Ez a csoport legalább 2012 óta működik, és inkább a célzott behatolásokról ismert, mint a széleskörű, alkalmi támadásokról.

Középpontban lévő ellenség, mint alapvető taktika

A kampány középpontjában az adversary-in-the-middle (AitM) technikák alkalmazása állt. A támadók manipulálták a DNS-válaszokat, így az áldozatokat csendben átirányították az irányításuk alatt álló infrastruktúrára. A kártevő betöltőket pontos fájlhelyekre helyezték, míg a titkosított komponenseket a támadó által ellenőrzött szervereken tárolták, és csak a legitim webhelyekhez kapcsolódó, meghatározott DNS-lekérdezésekre válaszul kézbesítették.

A DNS-mérgezés mintázata

Ez a kampány nem elszigetelt eset. Az Evasive Panda többször is bizonyította szakértelmét a DNS-mérgezésben. Korábbi kutatások hasonló taktikákat tártak fel 2023 áprilisában, amikor a csoport valószínűleg vagy egy ellátási lánc feltörését, vagy egy AitM támadást használt fel megbízható szoftverek, például a Tencent QQ trójai verzióinak terjesztésére egy nemzetközi nem kormányzati szervezet ellen Kína szárazföldi részén.

2024 augusztusában további jelentések tárták fel, hogy a csoport feltört egy meg nem nevezett internetszolgáltatót (ISP), és mérgezett DNS-válaszokat használt fel rosszindulatú szoftverfrissítések terjesztésére kiválasztott célpontoknak.

Kínához igazodó AitM-szereplők szélesebb ökoszisztémája

Az Evasive Panda egy Kínához kötődő fenyegető csoportokból álló szélesebb hálózat része, amelyek AitM-alapú mérgező vírusokra támaszkodnak a rosszindulatú programok hálózatokon belüli szállításához és mozgatásához. Az elemzők legalább tíz aktív csoportot azonosítottak, amelyek hasonló megközelítéseket alkalmaznak, ami azt mutatja, hogy a DNS-manipuláció kedvelt technikává vált ebben az ökoszisztémában.

Fegyveres szoftverfrissítések csalikként

A dokumentált behatolások során az áldozatokat hamis frissítésekkel csábították, amelyek legitim, harmadik féltől származó szoftvereknek álcázták magukat. Az egyik feltűnő csali a SohuVA, a kínai Sohu technológiai vállalat videostreaming alkalmazásának frissítéseit utánozta. A frissítés látszólag a legitim p2p.hd.sohu.com[.]cn domainről származott, ami erősen arra utal, hogy DNS-mérgezést használtak a forgalom átirányítására egy rosszindulatú szerverre, miközben az alkalmazás megpróbálta frissíteni a bináris fájlokat a standard könyvtárában, az appdata\roaming\shapp\7.0.18.0\package alatt.

A kutatók párhuzamos kampányokat is megfigyeltek, amelyek hamis frissítőket használtak a Baidu iQIYI Video, az IObit Smart Defrag és a Tencent QQ szolgáltatásaihoz.

Többlépcsős hasznos teher kézbesítése megbízható domaineken keresztül

A hamis frissítés sikeres végrehajtása egy kezdeti betöltő telepítéséhez vezetett, amely elindította a shellkódot. Ez a shellkód egy titkosított, PNG képként álcázott második szintű hasznos adatot kapott vissza, ismét DNS-mérgezésen keresztül, ezúttal a legitim dictionary.com domaint visszaélve.

A támadók manipulálták a DNS-feloldást, így a dictionary.com a támadó által ellenőrzött IP-címekre lett feloldva, amelyeket szelektíven határoztak meg az áldozat földrajzi helye és internetszolgáltatója. A hasznos adat lekéréséhez használt HTTP-kérés tartalmazta az áldozat Windows-verzióját, ami valószínűleg lehetővé tette a támadók számára, hogy a további műveleteket az adott operációs rendszer verzióihoz igazítsák. Ez a szelektív célzás a csoport korábbi, célzott támadásaira utal, beleértve a MACMA néven ismert macOS kártevő terjesztését is.

Hogyan történhetett a DNS-mérgezés?

Bár a DNS-válaszok megmérgezésére használt pontos módszer továbbra sem erősített, a nyomozók két fő lehetőséget gyanítanak:

  • Az áldozatként kezelt internetszolgáltatók szelektív kompromittálódása, potenciálisan hálózati implantátumok beépítésével a peremhálózati eszközökbe a DNS-forgalom manipulálása érdekében.
  • Az áldozati környezetekben található útválasztók vagy tűzfalak közvetlen kompromittálása a DNS-válaszok helyi módosítása érdekében.

Kifinomult betöltőlánc és egyedi titkosítás

A második szakaszban a kártevők kézbesítési folyamata szándékosan bonyolult. A kezdeti shellkód visszafejti és végrehajtja az áldozatra jellemző hasznos adatmennyiséget, ez a megközelítés pedig úgy vélik, hogy csökkenti az észlelést azáltal, hogy minden egyes célponthoz egyedi titkosított fájlt hoz létre.

Egy másodlagos betöltő, amely libpython2.4.dll néven álcázva van, egy átnevezett, elavult python.exe fájl oldalra töltésére támaszkodik. A végrehajtás után a C:\ProgramData\Microsoft\eHome\perf.dat fájlból olvasva kéri le és fejti vissza a következő szintű hasznos adatot. Ez a fájl olyan rosszindulatú programot tartalmaz, amelyet először XOR titkosítással titkosítottak, majd visszafejtettek, végül pedig újra titkosítottak a Microsoft Data Protection API (DPAPI) és az RC5 algoritmus egyéni hibridjével. Ez a kialakítás biztosítja, hogy a hasznos adat csak az eredeti áldozati rendszeren fejthető vissza, ami jelentősen bonyolítja az elfogást és az offline elemzést.

MgBot: Egy lopakodó és nagy teljesítményű implantátum

A visszafejtés után a hasznos adatot egy legitim svchost.exe folyamatba injektálják, amely az MgBot hátsó ajtó egy változataként tárja fel magát. Ez a moduláris implantátum a kémkedési funkciók széles skáláját támogatja, beleértve:

  • Fájlgyűjtés és -kiszivárgás
  • Billentyűleütés-naplózás és vágólap-gyűjtés
  • Hangfelvétel
  • Böngésző által tárolt hitelesítő adatok ellopása

Ezek a képességek lehetővé teszik a támadók számára, hogy hosszú távon, titkosan hozzáférjenek a feltört rendszerekhez.

Egy folyamatosan változó és állandó fenyegetés

Ez a kampány rávilágít az Evasive Panda folyamatos fejlődésére és technikai kifinomultságára. A DNS-mérgezés, a megbízható márkanév utánzása, a többrétegű betöltők és a rendszerhez kötött titkosítás kombinálásával a csoport egyértelműen képes megkerülni a védelmet, miközben folyamatosan hozzáfér a nagy értékű célpontokhoz. A művelet megerősíti az erősebb DNS-biztonság, az ellátási lánc validálása és a frissítési mechanizmusok monitorozásának szükségességét érzékeny környezetekben.

Felkapott

Fontos figyelmeztetés a Microsoft-fiókoddal...

Adathalászat, Spam
A váratlan, sürgős figyelmet igénylő e-mailek a kiberbűnözők kedvenc fegyverei. Nem lehet eléggé hangsúlyozni, mennyire fontos ébernek maradni a váratlan üzenetek esetén, különösen azoknál, amelyek fiókproblémákra vagy újonnan közzétett dokumentumokra figyelmeztetnek. Az egyik ilyen online terjedő fenyegetés az „Invoices Are Being Release” e-mail átverés, egy megtévesztő kampány, amelynek célja...

Legnézettebb

Betöltés...