Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Užpakalinės durys MgBot galinės durys

MgBot galinės durys

Autorius Mezo, Užpakalinės durys, Išplėstinė nuolatinė grėsmė (APT)
Versti į:

Sudėtinga, su Kinija suderinta pažangių nuolatinių grėsmių (APT) operacija buvo priskirta ilgai trunkančiai kibernetinio šnipinėjimo kampanijai, kurios metu buvo piktnaudžiaujama domenų vardų sistemos (DNS) infrastruktūra, siekiant pristatyti „MgBot“ galines duris. Kampanija buvo sutelkta į kruopščiai atrinktas aukas Turkijoje, Kinijoje ir Indijoje, ir buvo aktyvi nuo 2022 m. lapkričio iki 2024 m. lapkričio mėn.

Operacijos priešininkas

Ši veikla buvo susieta su grėsmės veikėju, plačiai žinomu kaip „Evasive Panda“, taip pat sekamu slapyvardžiais „Bronze Highland“, „Daggerfly“ ir „StormBamboo“. Manoma, kad ši grupė veikia mažiausiai nuo 2012 m. ir yra žinoma dėl itin tikslinių įsilaužimų, o ne dėl plataus masto, oportunistinių atakų.

Priešininkas viduryje kaip pagrindinė taktika

Kampanijos centre buvo „priešininko tarp jų“ (AitM) metodų naudojimas. Užpuolikai manipuliavo DNS atsakymais, kad aukos būtų tyliai nukreipiamos į jų kontroliuojamą infrastruktūrą. Kenkėjiškų programų įkrovos programos buvo patalpintos tiksliose failų vietose, o užšifruoti komponentai buvo talpinami užpuoliko kontroliuojamuose serveriuose ir teikiami tik atsakant į konkrečias DNS užklausas, susietas su teisėtomis svetainėmis.

DNS apsinuodijimo piktnaudžiavimo modelis

Ši kampanija nėra pavienis atvejis. „Evasive Panda“ ne kartą demonstravo DNS užkrėtimo patirtį. Ankstesni tyrimai atskleidė panašią taktiką 2023 m. balandžio mėn., kai grupė greičiausiai pasinaudojo tiekimo grandinės kompromitacija arba AitM ataka, kad platintų patikimos programinės įrangos, tokios kaip „Tencent QQ“, Trojos arklio užkrėstas versijas prieš tarptautinę NVO žemyninėje Kinijoje.

2024 m. rugpjūtį tolesnėse ataskaitose atskleista, kad grupė užkrėtė neįvardintą interneto paslaugų teikėją (IPT), piktnaudžiaudama užterštais DNS atsakymais, kad platintų kenkėjiškos programinės įrangos atnaujinimus pasirinktiems taikiniams.

Platesnė su Kinija suderintų AitM veikėjų ekosistema

„Evasive Panda“ yra dalis platesnio su Kinija susijusių grėsmių grupuočių, kurios naudoja AitM pagrindu veikiančius virusus kenkėjiškoms programoms pristatyti ir platinti tinkluose. Analitikai nustatė mažiausiai dešimt aktyvių grupių, naudojančių panašius metodus, o tai pabrėžia, kad DNS manipuliavimas tapo mėgstama technika šioje ekosistemoje.

Ginkluotos programinės įrangos atnaujinimai kaip masalai

Dokumentuotų įsilaužimų metu aukos buvo suviliotos netikrais atnaujinimais, maskuojamais kaip teisėta trečiųjų šalių programinė įranga. Vienas žinomas masalas apsimetė „SohuVA“ – Kinijos technologijų bendrovės „Sohu“ vaizdo transliacijos programos – atnaujinimais. Atrodė, kad atnaujinimas yra iš teisėto domeno p2p.hd.sohu.com[.]cn, o tai rodo, kad DNS užkrėtimas buvo panaudotas srautui nukreipti į kenkėjišką serverį, kol programa bandė atnaujinti dvejetainius failus standartiniame kataloge, esančiame appdata\roaming\shapp\7.0.18.0\package.

Tyrėjai taip pat pastebėjo lygiagrečias kampanijas, kuriose buvo piktnaudžiaujama netikrais „Baidu“ „iQIYI Video“, „IObit Smart Defrag“ ir „Tencent QQ“ atnaujinimais.

Daugiapakopis naudingosios apkrovos pristatymas per patikimus domenus

Sėkmingai įvykdžius netikrą atnaujinimą, buvo paleistas pradinis įkroviklis, kuris paleido apvalkalinį kodą. Šis apvalkalinis kodas atgavo užšifruotą antrojo etapo naudingąją apkrovą, užmaskuotą kaip PNG atvaizdą, vėlgi per DNS užkrėtimą, šį kartą piktnaudžiaujant teisėtu domenu dictionary.com.

Užpuolikai manipuliavo DNS skiriamąja geba taip, kad dictionary.com būtų išsprendžiamas pagal užpuoliko kontroliuojamus IP adresus, selektyviai nustatytus pagal aukos geografinę vietą ir interneto paslaugų teikėją. HTTP užklausoje, naudotoje šiai apkrovai gauti, buvo aukos „Windows“ versija, todėl užpuolikai galėjo pritaikyti tolesnius veiksmus konkrečioms operacinės sistemos versijoms. Toks selektyvus taikymasis atkartoja ankstesnį grupės naudojimą trumpalaikėms atakoms, įskaitant „macOS“ kenkėjiškos programos, žinomos kaip MACMA, platinimą.

Kaip galėjo būti pasiektas DNS apsinuodijimas

Nors tikslus DNS atsakymams užkrėtimo metodas lieka nepatvirtintas, tyrėjai įtaria dvi pagrindines galimybes:

  • Selektyvus aukų interneto paslaugų teikėjų kompromitavimas, galintis apimti tinklo implantus periferiniuose įrenginiuose, siekiant manipuliuoti DNS srautu.
  • Tiesioginis maršrutizatorių arba užkardų kompromitavimas aukos aplinkoje, siekiant pakeisti DNS atsakymus vietoje.

Sudėtinga įkėlimo grandinė ir pritaikytas šifravimas

Antrojo etapo kenkėjiškų programų pristatymo procesas yra sąmoningai sudėtingas. Pradinis apvalkalo kodas iššifruoja ir vykdo aukai skirtą naudingąją apkrovą – manoma, kad šis metodas sumažina aptikimo tikimybę, kiekvienam taikiniui sugeneruojant unikalų užšifruotą failą.

Antrinis įkėlėjas, užmaskuotas kaip libpython2.4.dll, pasikliauja pervadinto, pasenusio python.exe failo šalutiniu įkėlimu. Paleidus, jis nuskaito ir iššifruoja kito etapo naudingąją apkrovą, nuskaitydamas informaciją iš C:\ProgramData\Microsoft\eHome\perf.dat. Šiame faile yra kenkėjiška programa, kuri pirmiausia buvo užšifruota XOR metodu, tada iššifruota ir galiausiai iš naujo užšifruota naudojant pasirinktinį „Microsoft“ duomenų apsaugos API (DPAPI) ir RC5 algoritmo hibridą. Ši konstrukcija užtikrina, kad naudingąją apkrovą galima iššifruoti tik originalioje aukos sistemoje, o tai labai apsunkina perėmimą ir analizę neprisijungus.

MgBot: slaptas ir pajėgus implantas

Po iššifravimo, naudingoji informacija įterpiama į teisėtą „svchost.exe“ procesą, kuris atskleidžia save kaip „MgBot“ užpakalinių durų variantą. Šis modulinis implantas palaiko platų šnipinėjimo funkcijų spektrą, įskaitant:

  • Failų rinkimas ir išfiltravimas
  • Klavišų paspaudimų registravimas ir iškarpinių rinkimas
  • Garso įrašymas
  • Naršyklėje saugomų prisijungimo duomenų vagystė

Šios galimybės leidžia užpuolikams išlaikyti ilgalaikę, slaptą prieigą prie pažeistų sistemų.

Besivystanti ir nuolatinė grėsmė

Ši kampanija pabrėžia nuolatinę „Evasive Panda“ evoliuciją ir techninį sudėtingumą. Derindama DNS užkrėtimą, patikimų prekės ženklų imitavimą, daugiasluoksnius įkėlimo įrankius ir sistemai skirtą šifravimą, grupė demonstruoja aiškų gebėjimą apeiti gynybą ir išlaikyti nuolatinę prieigą prie didelės vertės taikinių. Ši operacija sustiprina poreikį užtikrinti stipresnį DNS saugumą, tiekimo grandinės patvirtinimą ir atnaujinimų mechanizmų stebėjimą jautrioje aplinkoje.

Tendencijos

Svarbus įspėjimas apie sukčiavimą el. paštu jūsų...

Sukčiavimas, Šlamštas
Netikėti el. laiškai, reikalaujantys skubaus dėmesio, yra mėgstamas kibernetinių nusikaltėlių ginklas. Negalima pervertinti, kaip svarbu būti budriems, kai pranešimai pasirodo netikėtai, ypač tie, kurie įspėja apie paskyros problemas ar naujai paskelbtus dokumentus. Viena iš tokių grėsmių, plintančių internete, yra el. pašto sukčiavimas „Sąskaitos faktūros išleidžiamos“ – apgaulinga kampanija,...

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
29,658
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...