Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Pintu belakang Pintu Belakang MgBot

Pintu Belakang MgBot

Menjelang Mezo pada Pintu belakang, Ancaman Berterusan Lanjutan (APT)
Terjemahkan ke

Satu operasi ancaman berterusan (APT) canggih yang diselaraskan dengan China telah dikaitkan dengan kempen pengintipan siber yang telah lama berjalan yang menyalahgunakan infrastruktur Sistem Nama Domain (DNS) untuk menyediakan pintu belakang MgBot. Kempen ini memberi tumpuan kepada mangsa yang dipilih dengan teliti di Türkiye, China dan India, dan kekal aktif dari November 2022 hingga November 2024.

Musuh di Sebalik Operasi

Aktiviti ini telah dikaitkan dengan pelaku ancaman yang dikenali ramai sebagai Evasive Panda, yang juga dikesan di bawah nama Bronze Highland, Daggerfly dan StormBamboo. Kumpulan ini telah dinilai beroperasi sekurang-kurangnya sejak tahun 2012 dan dikenali kerana pencerobohan yang sangat disasarkan dan bukannya serangan oportunistik yang meluas.

Musuh di Tengah sebagai Taktik Teras

Inti kempen ini adalah penggunaan teknik adversary-in-the-middle (AitM). Penyerang memanipulasi respons DNS supaya mangsa dialihkan secara senyap ke infrastruktur di bawah kawalan mereka. Pemuat perisian hasad diletakkan di lokasi fail yang tepat, manakala komponen yang disulitkan dihoskan pada pelayan yang dikawal oleh penyerang dan hanya dihantar sebagai tindak balas kepada pertanyaan DNS tertentu yang berkaitan dengan laman web yang sah.

Corak Penyalahgunaan Keracunan DNS

Kempen ini bukanlah kes terpencil. Evasive Panda telah berulang kali menunjukkan kepakaran dalam keracunan DNS. Kajian terdahulu mengetengahkan taktik serupa pada April 2023, apabila kumpulan itu mungkin memanfaatkan sama ada kompromi rantaian bekalan atau serangan AitM untuk mengedarkan versi perisian dipercayai yang ditrojankan, seperti Tencent QQ, terhadap sebuah NGO antarabangsa di Tanah Besar China.

Pada Ogos 2024, laporan lanjut mendedahkan bahawa kumpulan itu telah menjejaskan penyedia perkhidmatan internet (ISP) yang tidak dinamakan, menyalahgunakan respons DNS yang diracun untuk mengedarkan kemas kini perisian berniat jahat kepada sasaran terpilih.

Ekosistem Lebih Luas bagi Pelakon AitM yang Bersekutu dengan China

Evasive Panda merupakan sebahagian daripada landskap kumpulan ancaman yang lebih luas yang sejajar dengan China yang bergantung pada keracunan berasaskan AitM untuk penghantaran dan pergerakan perisian hasad dalam rangkaian. Penganalisis telah mengenal pasti sekurang-kurangnya sepuluh kumpulan aktif menggunakan pendekatan yang serupa, menekankan bahawa manipulasi DNS telah menjadi teknik yang digemari dalam ekosistem ini.

Kemas Kini Perisian yang Dipersenjatai sebagai Umpan

Dalam pencerobohan yang didokumenkan, mangsa telah ditipu dengan kemas kini palsu yang menyamar sebagai perisian pihak ketiga yang sah. Satu tarikan utama menyamar sebagai kemas kini untuk SohuVA, aplikasi penstriman video daripada syarikat teknologi China Sohu. Kemas kini itu nampaknya berasal dari domain sah p2p.hd.sohu.com[.]cn, yang menunjukkan dengan kuat keracunan DNS telah digunakan untuk mengalihkan trafik ke pelayan berniat jahat sementara aplikasi itu cuba mengemas kini binari dalam direktori standardnya di bawah appdata\roaming\shapp\7.0.18.0\package.

Para penyelidik juga memerhatikan kempen selari yang menyalahgunakan pengemas kini palsu untuk iQIYI Video Baidu, IObit Smart Defrag dan Tencent QQ.

Penghantaran Muatan Berbilang Peringkat melalui Domain Dipercayai

Kejayaan pelaksanaan kemas kini palsu itu membawa kepada penggunaan pemuat awal yang melancarkan shellcode. Shellcode ini mendapatkan semula muatan peringkat kedua yang disulitkan yang menyamar sebagai imej PNG, sekali lagi melalui keracunan DNS, kali ini menyalahgunakan domain sah dictionary.com.

Penyerang memanipulasi resolusi DNS supaya dictionary.com diselesaikan kepada alamat IP yang dikawal oleh penyerang, yang ditentukan secara selektif oleh lokasi geografi dan ISP mangsa. Permintaan HTTP yang digunakan untuk mengambil muatan ini termasuk versi Windows mangsa, yang mungkin membolehkan penyerang menyesuaikan tindakan susulan kepada binaan sistem pengendalian tertentu. Penyasaran terpilih ini mencerminkan penggunaan serangan lubang air kumpulan sebelum ini, termasuk pengedaran perisian hasad macOS yang dikenali sebagai MACMA.

Bagaimana Keracunan DNS Mungkin Telah Dicapai

Walaupun kaedah tepat yang digunakan untuk meracuni respons DNS masih belum disahkan, penyiasat mengesyaki dua kemungkinan utama:

  • Kompromi terpilih ISP mangsa, berpotensi melibatkan implan rangkaian pada peranti pinggir untuk memanipulasi trafik DNS.
  • Pencerobohan langsung penghala atau tembok api dalam persekitaran mangsa untuk mengubah respons DNS secara setempat.

Rantaian Pemuat Canggih dan Penyulitan Tersuai

Proses penghantaran malware peringkat kedua sengaja dibuat rumit. Shellcode awal menyahsulit dan melaksanakan muatan khusus mangsa, satu pendekatan yang dipercayai dapat mengurangkan pengesanan dengan menjana fail yang disulitkan unik untuk setiap sasaran.

Pemuat sekunder, yang menyamar sebagai libpython2.4.dll, bergantung pada pemuatan sisi python.exe yang dinamakan semula dan ketinggalan zaman. Setelah dilaksanakan, ia akan mengambil dan menyahsulit muatan peringkat seterusnya dengan membaca daripada C:\ProgramData\Microsoft\eHome\perf.dat. Fail ini mengandungi perisian hasad yang mula-mula disulitkan XOR, kemudian didekripsi dan akhirnya disulitkan semula menggunakan hibrid tersuai API Perlindungan Data Microsoft (DPAPI) dan algoritma RC5. Reka bentuk ini memastikan muatan hanya boleh didekripsi pada sistem mangsa asal, sekali gus merumitkan pemintasan dan analisis luar talian dengan ketara.

MgBot: Implan yang Tersembunyi dan Berkebolehan

Selepas penyahsulitan, muatan disuntik ke dalam proses svchost.exe yang sah, mendedahkan dirinya sebagai varian pintu belakang MgBot. Implan modular ini menyokong pelbagai fungsi pengintipan, termasuk:

  • Pengumpulan fail dan penapisan
  • Pembalakan ketukan kekunci dan penuaian papan klip
  • Rakaman audio
  • Kecurian kelayakan yang disimpan oleh pelayar

Keupayaan ini membolehkan penyerang mengekalkan akses rahsia jangka panjang kepada sistem yang dikompromi.

Ancaman yang Berkembang dan Berterusan

Kempen ini mengetengahkan evolusi berterusan dan kecanggihan teknikal Evasive Panda. Dengan menggabungkan keracunan DNS, penyamaran jenama yang dipercayai, pemuat berbilang lapisan dan penyulitan terikat sistem, kumpulan ini menunjukkan keupayaan yang jelas untuk mengelak pertahanan sambil mengekalkan akses berterusan kepada sasaran bernilai tinggi. Operasi ini memperkukuh keperluan untuk keselamatan DNS yang lebih kukuh, pengesahan rantaian bekalan dan pemantauan mekanisme kemas kini dalam persekitaran sensitif.

Trending

Paling banyak dilihat

Memuatkan...