Backdoor MgBot
Un'operazione sofisticata di minaccia persistente avanzata (APT) allineata alla Cina è stata attribuita a una lunga campagna di spionaggio informatico che ha sfruttato l'infrastruttura del Domain Name System (DNS) per diffondere la backdoor MgBot. La campagna si è concentrata su vittime accuratamente selezionate in Turchia, Cina e India, ed è rimasta attiva da novembre 2022 a novembre 2024.
Sommario
L’avversario dietro l’operazione
L'attività è stata collegata all'autore della minaccia ampiamente noto come Evasive Panda, monitorato anche con i nomi di Bronze Highland, Daggerfly e StormBamboo. Si ritiene che questo gruppo sia operativo almeno dal 2012 ed è noto per intrusioni altamente mirate piuttosto che per attacchi opportunistici su larga scala.
L’avversario nel mezzo come tattica fondamentale
Al centro della campagna c'era l'uso di tecniche Adversary-in-the-Middle (AitM). Gli aggressori manipolavano le risposte DNS in modo che le vittime venissero reindirizzate silenziosamente a infrastrutture sotto il loro controllo. I malware loader venivano posizionati in posizioni precise, mentre i componenti crittografati venivano ospitati su server controllati dagli aggressori e distribuiti solo in risposta a specifiche query DNS collegate a siti web legittimi.
Un modello di abuso di avvelenamento DNS
Questa campagna non è un caso isolato. Evasive Panda ha ripetutamente dimostrato competenza nell'avvelenamento del DNS. Ricerche precedenti hanno evidenziato tattiche simili nell'aprile 2023, quando il gruppo ha probabilmente sfruttato una compromissione della supply chain o un attacco AitM per distribuire versioni trojanizzate di software attendibili, come Tencent QQ, contro una ONG internazionale nella Cina continentale.
Nell'agosto 2024, ulteriori segnalazioni hanno rivelato che il gruppo aveva compromesso un provider di servizi Internet (ISP) non identificato, sfruttando risposte DNS avvelenate per distribuire aggiornamenti software dannosi a obiettivi selezionati.
Un ecosistema più ampio di attori AitM allineati con la Cina
Evasive Panda fa parte di un più ampio panorama di gruppi di minacce allineati alla Cina che si affidano all'avvelenamento basato su AitM per la distribuzione e la diffusione di malware all'interno delle reti. Gli analisti hanno identificato almeno dieci gruppi attivi che utilizzano approcci simili, sottolineando che la manipolazione del DNS è diventata una tecnica privilegiata all'interno di questo ecosistema.
Aggiornamenti software usati come esche
Nelle intrusioni documentate, le vittime sono state adescate con falsi aggiornamenti mascherati da software di terze parti legittimi. Un'esca importante si spacciava per aggiornamenti di SohuVA, un'applicazione di streaming video dell'azienda tecnologica cinese Sohu. L'aggiornamento sembrava provenire dal dominio legittimo p2p.hd.sohu.com[.]cn, il che suggerisce fortemente che un attacco DNS sia stato utilizzato per reindirizzare il traffico verso un server dannoso mentre l'applicazione tentava di aggiornare i file binari nella sua directory standard in appdata\roaming\shapp\7.0.18.0\package.
I ricercatori hanno anche osservato campagne parallele che sfruttavano falsi programmi di aggiornamento per iQIYI Video di Baidu, IObit Smart Defrag e Tencent QQ.
Consegna di payload multifase tramite domini attendibili
L'esecuzione corretta del falso aggiornamento ha portato all'implementazione di un loader iniziale che ha lanciato uno shellcode. Questo shellcode ha recuperato un payload di seconda fase crittografato, camuffato da immagine PNG, sempre tramite avvelenamento DNS, questa volta abusando del dominio legittimo dictionary.com.
Gli aggressori hanno manipolato la risoluzione DNS in modo che dictionary.com si indirizzasse a indirizzi IP controllati dagli aggressori, determinati selettivamente in base alla posizione geografica della vittima e al provider di servizi Internet. La richiesta HTTP utilizzata per recuperare questo payload includeva la versione di Windows della vittima, consentendo probabilmente agli aggressori di adattare le azioni successive a specifiche build del sistema operativo. Questo targeting selettivo riecheggia il precedente utilizzo da parte del gruppo di attacchi watering hole, inclusa la distribuzione del malware per macOS noto come MACMA.
Come potrebbe essere stato ottenuto l’avvelenamento del DNS
Sebbene il metodo preciso utilizzato per avvelenare le risposte DNS non sia ancora confermato, gli investigatori ipotizzano due possibilità principali:
- Compromissione selettiva degli ISP vittime, che potenzialmente prevede l'installazione di reti su dispositivi edge per manipolare il traffico DNS.
- Compromissione diretta di router o firewall all'interno degli ambienti delle vittime per alterare localmente le risposte DNS.
Catena di caricamento sofisticata e crittografia personalizzata
Il processo di distribuzione del malware nella seconda fase è volutamente complesso. Lo shellcode iniziale decifra ed esegue un payload specifico per la vittima, un approccio che si ritiene riduca il rischio di rilevamento generando un file crittografato univoco per ogni bersaglio.
Un loader secondario, mascherato da libpython2.4.dll, si basa sul sideload di un file python.exe rinominato e obsoleto. Una volta eseguito, recupera e decrittografa il payload successivo leggendo da C:\ProgramData\Microsoft\eHome\perf.dat. Questo file contiene malware che è stato prima crittografato con XOR, poi decrittografato e infine nuovamente crittografato utilizzando un ibrido personalizzato tra la Data Protection API (DPAPI) di Microsoft e l'algoritmo RC5. Questa progettazione garantisce che il payload possa essere decrittografato solo sul sistema della vittima originale, complicando notevolmente l'intercettazione e l'analisi offline.
MgBot: un impianto furtivo e capace
Dopo la decrittazione, il payload viene iniettato in un processo svchost.exe legittimo, rivelandosi una variante della backdoor MgBot. Questo impianto modulare supporta un'ampia gamma di funzioni di spionaggio, tra cui:
- Raccolta ed esfiltrazione dei file
- Registrazione delle battute e raccolta degli appunti
- Registrazione audio
- Furto di credenziali memorizzate nel browser
Queste capacità consentono agli aggressori di mantenere un accesso segreto e a lungo termine ai sistemi compromessi.
Una minaccia in continua evoluzione e persistente
Questa campagna mette in luce la continua evoluzione e la sofisticatezza tecnica di Evasive Panda. Combinando l'avvelenamento del DNS, l'impersonificazione di marchi attendibili, i loader multilivello e la crittografia vincolata al sistema, il gruppo dimostra una chiara capacità di eludere le difese mantenendo al contempo un accesso persistente a obiettivi di alto valore. L'operazione rafforza la necessità di una maggiore sicurezza del DNS, della convalida della supply chain e del monitoraggio dei meccanismi di aggiornamento in ambienti sensibili.
