MgBot-bakdør
En sofistikert, Kina-alliert avansert vedvarende trusseloperasjon (APT) har blitt tilskrevet en langvarig cyberspionasjekampanje som misbrukte DNS-infrastrukturen (Domain Name System) for å levere MgBot-bakdøren. Kampanjen fokuserte på nøye utvalgte ofre i Tyrkia, Kina og India, og forble aktiv fra november 2022 til november 2024.
Innholdsfortegnelse
Motstanderen bak operasjonen
Aktiviteten har blitt knyttet til trusselaktøren som er allment kjent som Evasive Panda, også sporet under navnene Bronze Highland, Daggerfly og StormBamboo. Denne gruppen har blitt vurdert å være operativ siden minst 2012 og er kjent for svært målrettede inntrenginger snarere enn brede, opportunistiske angrep.
Motstander-i-midten som en kjernetaktikk
Kjernen i kampanjen var bruken av «adversary-in-the-middle»-teknikker (AitM). Angriperne manipulerte DNS-svar slik at ofrene i stillhet ble omdirigert til infrastruktur under deres kontroll. Programvarelastere ble plassert på presise filplasseringer, mens krypterte komponenter ble lagret på angriperkontrollerte servere og kun levert som svar på spesifikke DNS-forespørsler knyttet til legitime nettsteder.
Et mønster av DNS-forgiftningsmisbruk
Denne kampanjen er ikke et isolert tilfelle. Evasive Panda har gjentatte ganger vist ekspertise innen DNS-forgiftning. Tidligere forskning fremhevet lignende taktikker i april 2023, da gruppen sannsynligvis utnyttet enten et kompromittert forsyningskjedeangrep eller et AitM-angrep for å distribuere trojaneriserte versjoner av pålitelig programvare, som Tencent QQ, mot en internasjonal NGO i Fastlands-Kina.
I august 2024 avslørte ytterligere rapportering at gruppen hadde kompromittert en ikke navngitt internettleverandør (ISP), og misbrukt forgiftede DNS-svar for å distribuere skadelige programvareoppdateringer til utvalgte mål.
Et bredere økosystem av Kina-allierte AitM-aktører
Evasive Panda er en del av et bredere landskap av trusselgrupper tilknyttet Kina som er avhengige av AitM-basert forgiftning for levering og bevegelse av skadelig programvare innenfor nettverk. Analytikere har identifisert minst ti aktive grupper som bruker lignende tilnærminger, noe som understreker at DNS-manipulering har blitt en foretrukket teknikk i dette økosystemet.
Våpenbaserte programvareoppdateringer som lokkemidler
I de dokumenterte innbruddene ble ofrene forledet med falske oppdateringer som utga seg for å være legitim tredjepartsprogramvare. En fremtredende lokkemiddel imiterte oppdateringer for SohuVA, en videostrømmeapplikasjon fra det kinesiske teknologiselskapet Sohu. Oppdateringen så ut til å stamme fra det legitime domenet p2p.hd.sohu.com[.]cn, noe som sterkt tyder på at DNS-forgiftning ble brukt til å omdirigere trafikk til en ondsinnet server mens applikasjonen forsøkte å oppdatere binærfiler i standardkatalogen under appdata\roaming\shapp\7.0.18.0\package.
Forskere observerte også parallelle kampanjer som misbrukte falske oppdateringsprogrammer for Baidus iQIYI Video, IObit Smart Defrag og Tencent QQ.
Flertrinns nyttelastlevering via klarerte domener
Vellykket utførelse av den falske oppdateringen førte til utplassering av en initial laster som startet shellcode. Denne shellcoden hentet en kryptert andretrinnsnyttelast forkledd som et PNG-bilde, igjen via DNS-forgiftning, denne gangen misbrukende det legitime domenet dictionary.com.
Angriperne manipulerte DNS-oppløsningen slik at dictionary.com ble løst opp til angriperkontrollerte IP-adresser, selektivt bestemt av offerets geografiske plassering og internettleverandør. HTTP-forespørselen som ble brukt til å hente denne nyttelasten inkluderte offerets Windows-versjon, noe som sannsynligvis gjorde det mulig for angriperne å skreddersy oppfølgingshandlinger til spesifikke operativsystembygg. Denne selektive målrettingen gjenspeiler gruppens tidligere bruk av «watering hole»-angrep, inkludert distribusjon av macOS-skadevare kjent som MACMA.
Hvordan DNS-forgiftningen kan ha blitt oppnådd
Selv om den nøyaktige metoden som ble brukt for å forgifte DNS-svar fortsatt er ubekreftet, mistenker etterforskerne to primære muligheter:
- Selektiv kompromittering av offer-ISP-er, potensielt med nettverksimplantater på kantenheter for å manipulere DNS-trafikk.
- Direkte kompromittering av rutere eller brannmurer i offermiljøer for å endre DNS-svar lokalt.
Sofistikert lastekjede og tilpasset kryptering
Den andre fasen av leveringsprosessen for skadelig programvare er bevisst kompleks. Den første skallkoden dekrypterer og kjører en offerspesifikk nyttelast, en tilnærming som antas å redusere deteksjon ved å generere en unik kryptert fil for hvert mål.
En sekundær laster, forkledd som libpython2.4.dll, er avhengig av å sidelaste en omdøpt, utdatert python.exe. Når den er kjørt, henter og dekrypterer den neste nyttelasten ved å lese fra C:\ProgramData\Microsoft\eHome\perf.dat. Denne filen inneholder skadelig programvare som først ble XOR-kryptert, deretter dekryptert og til slutt kryptert på nytt ved hjelp av en tilpasset hybrid av Microsofts Data Protection API (DPAPI) og RC5-algoritmen. Denne designen sikrer at nyttelasten bare kan dekrypteres på det opprinnelige offersystemet, noe som kompliserer avlytting og offline-analyse betydelig.
MgBot: Et snikende og kapabelt implantat
Etter dekryptering injiseres nyttelasten i en legitim svchost.exe-prosess, og avslører seg selv som en variant av MgBot-bakdøren. Dette modulære implantatet støtter et bredt spekter av spionasjefunksjoner, inkludert:
- Filinnsamling og eksfiltrering
- Tastetrykklogging og utklippstavlehøsting
- Lydopptak
- Tyveri av nettleserlagrede legitimasjonsopplysninger
Disse funksjonene gjør det mulig for angriperne å opprettholde langsiktig, skjult tilgang til kompromitterte systemer.
En utviklende og vedvarende trussel
Denne kampanjen fremhever Evasive Pandas fortsatte utvikling og tekniske sofistikasjon. Ved å kombinere DNS-forgiftning, merkevareetterligning, flerlags lastere og systembundet kryptering, demonstrerer gruppen en klar evne til å omgå forsvar samtidig som de opprettholder vedvarende tilgang til mål med høy verdi. Operasjonen forsterker behovet for sterkere DNS-sikkerhet, validering av forsyningskjeden og overvåking av oppdateringsmekanismer i sensitive miljøer.
