Vairāku licenču atlaides piedāvājums
Draudu datu bāze Aizmugures durvis MgBot aizmugurējās durvis

MgBot aizmugurējās durvis

Līdz Mezo. gadam Aizmugures durvis, Advanced Persistent Threat (APT). gadā
Tulkot uz:

Sarežģīta, ar Ķīnu saskaņota uzlabotā pastāvīgā apdraudējuma (APT) operācija tiek attiecināta uz ilgstošu kiberspiegošanas kampaņu, kurā tika ļaunprātīgi izmantota domēnu vārdu sistēmas (DNS) infrastruktūra, lai piegādātu MgBot aizmugurējās durvis. Kampaņa bija vērsta uz rūpīgi atlasītiem upuriem Turkijā, Ķīnā un Indijā, un tā bija aktīva no 2022. gada novembra līdz 2024. gada novembrim.

Operācijas pretinieks

Šī aktivitāte ir saistīta ar apdraudējuma dalībnieku, kas plaši pazīstams kā Evasive Panda, kas tiek izsekots arī ar nosaukumiem Bronze Highland, Daggerfly un StormBamboo. Tiek lēsts, ka šī grupa darbojas vismaz kopš 2012. gada un ir pazīstama ar ļoti mērķtiecīgiem ielaušanās veidiem, nevis plašiem, oportūnistiskiem uzbrukumiem.

Ienaidnieks pa vidu kā galvenā taktika

Kampaņas centrā bija pretinieka iejaukšanās (AitM) metožu izmantošana. Uzbrucēji manipulēja ar DNS atbildēm, lai upuri tiktu nemanāmi novirzīti uz viņu kontrolēto infrastruktūru. Ļaunprogrammatūras ielādētāji tika ievietoti precīzās failu atrašanās vietās, savukārt šifrētie komponenti tika mitināti uzbrucēju kontrolētos serveros un piegādāti tikai atbildot uz konkrētiem DNS vaicājumiem, kas saistīti ar likumīgām tīmekļa vietnēm.

DNS saindēšanās ļaunprātīgas izmantošanas modelis

Šī kampaņa nav atsevišķs gadījums. Evasive Panda ir vairākkārt demonstrējusi savu kompetenci DNS saindēšanā. Iepriekšējie pētījumi atklāja līdzīgu taktiku 2023. gada aprīlī, kad grupa, visticamāk, izmantoja vai nu piegādes ķēdes kompromitēšanu, vai AitM uzbrukumu, lai izplatītu uzticamas programmatūras, piemēram, Tencent QQ, Trojas zirga versijas pret starptautisku NVO kontinentālajā Ķīnā.

2024. gada augustā papildu ziņojumi atklāja, ka grupa bija apdraudējusi nenosauktu interneta pakalpojumu sniedzēju (ISP), ļaunprātīgi izmantojot saindētas DNS atbildes, lai izplatītu ļaunprātīgas programmatūras atjauninājumus atlasītajiem mērķiem.

Plašāka Ķīnas atbalstītu AitM dalībnieku ekosistēma

“Evasive Panda” ir daļa no plašākas ar Ķīnu saistītu draudu grupu ainavas, kas paļaujas uz AitM balstītu saindēšanos ļaunprogrammatūras piegādei un pārvietošanai tīklos. Analītiķi ir identificējuši vismaz desmit aktīvas grupas, kas izmanto līdzīgas pieejas, uzsverot, ka DNS manipulācija ir kļuvusi par iecienītu metodi šajā ekosistēmā.

Ieroču programmatūras atjauninājumi kā ēsmas

Dokumentētajos ielaušanās gadījumos upuri tika pievilināti ar viltotiem atjauninājumiem, kas maskējās par likumīgu trešo pušu programmatūru. Viens no ievērojamākajiem ēsmu veidiem bija viltus atjauninājumi, kas paredzēti Ķīnas tehnoloģiju uzņēmuma Sohu video straumēšanas lietojumprogrammai SohuVA. Šķiet, ka atjauninājums cēlies no likumīgā domēna p2p.hd.sohu.com[.]cn, kas stingri liek domāt, ka DNS saindēšana tika izmantota, lai novirzītu datplūsmu uz ļaunprātīgu serveri, kamēr lietojumprogramma mēģināja atjaunināt bināros failus savā standarta direktorijā zem appdata\roaming\shapp\7.0.18.0\package.

Pētnieki novēroja arī paralēlas kampaņas, kurās tika ļaunprātīgi izmantoti viltoti atjauninātāji Baidu iQIYI Video, IObit Smart Defrag un Tencent QQ.

Daudzpakāpju lietderīgās slodzes piegāde, izmantojot uzticamus domēnus

Viltus atjauninājuma veiksmīga izpilde noveda pie sākotnējā ielādētāja izvietošanas, kas palaida apvalkkodu. Šis apvalkkods izguva šifrētu otrās pakāpes vērtumu, kas bija maskēts kā PNG attēls, atkal izmantojot DNS saindēšanu un šoreiz ļaunprātīgi izmantojot likumīgo domēnu dictionary.com.

Uzbrucēji manipulēja ar DNS risinājumu, lai dictionary.com atšifrētu uzbrucēja kontrolētas IP adreses, kas selektīvi noteiktas pēc upura ģeogrāfiskās atrašanās vietas un interneta pakalpojumu sniedzēja. HTTP pieprasījumā, kas tika izmantots šīs vērtuma izgūšanai, bija iekļauta upura Windows versija, kas, visticamāk, ļāva uzbrucējiem pielāgot turpmākās darbības konkrētām operētājsistēmas versijām. Šī selektīvā mērķauditorijas atlase atspoguļo grupas iepriekšējos nelegālos uzbrukumus, tostarp macOS ļaunprogrammatūras, kas pazīstama kā MACMA, izplatīšanu.

Kā varētu būt panākta DNS saindēšanās

Lai gan precīza DNS atbilžu saindēšanas metode joprojām nav apstiprināta, izmeklētāji pieļauj divas galvenās iespējas:

  • Cietušo interneta pakalpojumu sniedzēju selektīva kompromitēšana, potenciāli izmantojot tīkla implantus perifērijas ierīcēs, lai manipulētu ar DNS datplūsmu.
  • Tieša maršrutētāju vai ugunsmūru kompromitēšana upuru vidēs, lai lokāli mainītu DNS atbildes.

Izsmalcināta ielādes ķēde un pielāgota šifrēšana

Otrā posma ļaunprogrammatūras piegādes process ir apzināti sarežģīts. Sākotnējais apvalkkods atšifrē un izpilda upurim specifisku vērtumu, un tiek uzskatīts, ka šī pieeja samazina atklāšanas iespējas, katram mērķim ģenerējot unikālu šifrētu failu.

Otrreizējais ielādētājs, kas maskēts kā libpython2.4.dll, balstās uz pārdēvēta, novecojuša python.exe sānielādi. Pēc izpildes tas izgūst un atšifrē nākamā posma vērtumu, lasot no C:\ProgramData\Microsoft\eHome\perf.dat. Šis fails satur ļaunprogrammatūru, kas vispirms tika šifrēta ar XOR, pēc tam atšifrēta un visbeidzot atkārtoti šifrēta, izmantojot pielāgotu Microsoft datu aizsardzības API (DPAPI) un RC5 algoritma hibrīdu. Šis dizains nodrošina, ka vērtumu var atšifrēt tikai sākotnējā upura sistēmā, ievērojami sarežģot pārtveršanu un bezsaistes analīzi.

MgBot: slepens un spējīgs implants

Pēc atšifrēšanas vērtums tiek ievadīts likumīgā svchost.exe procesā, atklājot sevi kā MgBot aizmugurējās durvis variantu. Šis modulārais implants atbalsta plašu spiegošanas funkciju klāstu, tostarp:

  • Failu vākšana un eksfiltrācija
  • Taustiņsitienu reģistrēšana un starpliktuves apkopošana
  • Audio ierakstīšana
  • Pārlūkprogrammā saglabāto akreditācijas datu zādzība

Šīs iespējas ļauj uzbrucējiem ilgtermiņā saglabāt slepenu piekļuvi apdraudētām sistēmām.

Mainīgs un pastāvīgs drauds

Šī kampaņa izceļ Evasive Panda nepārtraukto attīstību un tehnisko izsmalcinātību. Apvienojot DNS saindēšanu, uzticama zīmola personifikāciju, daudzslāņu ielādētājus un sistēmai piesaistītu šifrēšanu, grupa demonstrē skaidru spēju apiet aizsardzību, vienlaikus saglabājot pastāvīgu piekļuvi augstas vērtības mērķiem. Šī operācija pastiprina nepieciešamību pēc spēcīgākas DNS drošības, piegādes ķēdes validācijas un atjaunināšanas mehānismu uzraudzības jutīgās vidēs.

Tendences

Svarīgs brīdinājums par e-pasta krāpniecību jūsu...

Pikšķerēšana, Mēstules
Negaidīti e-pasti, kas prasa steidzamu uzmanību, ir kibernoziedznieku iecienīts ierocis. Nav iespējams pietiekami uzsvērt, cik svarīgi ir saglabāt modrību, kad ziņojumi parādās negaidīti, īpaši tie, kas brīdina par konta problēmām vai nesen publicētiem dokumentiem. Viens no šādiem draudiem, kas cirkulē tiešsaistē, ir e-pasta krāpniecība “Rēķini tiek publicēti” — maldinoša kampaņa, kas...

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
29,658
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...