MgBot ब्याकडोर

लामो समयदेखि चलिरहेको साइबर जासुसी अभियानलाई परिष्कृत, चीन-पङ्क्तिबद्ध उन्नत पर्सिस्टन्ट थ्रेट (APT) अपरेशनको श्रेय दिइएको छ जसले MgBot ब्याकडोर डेलिभर गर्न डोमेन नेम सिस्टम (DNS) पूर्वाधारको दुरुपयोग गर्‍यो। अभियान टर्की, चीन र भारतमा सावधानीपूर्वक चयन गरिएका पीडितहरूमा केन्द्रित थियो र नोभेम्बर २०२२ देखि नोभेम्बर २०२४ सम्म सक्रिय रह्यो।

अपरेशन पछाडिको शत्रु

यो गतिविधिलाई इभासिभ पाण्डाको रूपमा व्यापक रूपमा चिनिने खतरा अभिनेतासँग जोडिएको छ, जसलाई ब्रोन्ज हाईल्याण्ड, डैगरफ्लाइ र स्टर्मब्याम्बूको नामले पनि ट्र्याक गरिएको थियो। यो समूह कम्तिमा २०१२ देखि सञ्चालनमा रहेको मूल्याङ्कन गरिएको छ र व्यापक, अवसरवादी आक्रमणको सट्टा अत्यधिक लक्षित घुसपैठको लागि परिचित छ।

मुख्य रणनीतिको रूपमा मध्य-विपक्षी

अभियानको मुटुमा एड्भोर्डी-इन-द-मिडल (AitM) प्रविधिहरूको प्रयोग थियो। आक्रमणकारीहरूले DNS प्रतिक्रियाहरूलाई हेरफेर गरे ताकि पीडितहरूलाई चुपचाप तिनीहरूको नियन्त्रणमा रहेको पूर्वाधारमा रिडिरेक्ट गरियो। मालवेयर लोडरहरू सटीक फाइल स्थानहरूमा राखिएका थिए, जबकि एन्क्रिप्टेड कम्पोनेन्टहरू आक्रमणकारी-नियन्त्रित सर्भरहरूमा होस्ट गरिएका थिए र वैध वेबसाइटहरूसँग सम्बन्धित विशिष्ट DNS प्रश्नहरूको प्रतिक्रियामा मात्र डेलिभर गरिएका थिए।

DNS विषाक्तता दुरुपयोगको ढाँचा

यो अभियान कुनै पृथक घटना होइन। इभासिभ पाण्डाले बारम्बार DNS विषाक्ततामा विशेषज्ञता प्रदर्शन गरेका छन्। पहिलेको अनुसन्धानले अप्रिल २०२३ मा यस्तै रणनीतिहरू हाइलाइट गरेको थियो, जब समूहले सम्भवतः आपूर्ति श्रृंखला सम्झौता वा AitM आक्रमणको फाइदा उठाएर मुख्य भूमि चीनको एक अन्तर्राष्ट्रिय गैरसरकारी संस्था विरुद्ध Tencent QQ जस्ता विश्वसनीय सफ्टवेयरको ट्रोजनाइज्ड संस्करणहरू वितरण गरेको थियो।

अगस्ट २०२४ मा, थप रिपोर्टिङले समूहले एक अज्ञात इन्टरनेट सेवा प्रदायक (ISP) लाई सम्झौता गरेको खुलासा गर्‍यो, जसले चयन गरिएका लक्ष्यहरूमा दुर्भावनापूर्ण सफ्टवेयर अपडेटहरू वितरण गर्न विषाक्त DNS प्रतिक्रियाहरूको दुरुपयोग गर्‍यो।

चीन-पङ्क्तिबद्ध AitM अभिनेताहरूको फराकिलो पारिस्थितिक प्रणाली

इभासिभ पाण्डा चीन-पङ्क्तिबद्ध खतरा समूहहरूको फराकिलो परिदृश्यको हिस्सा हो जुन नेटवर्क भित्र मालवेयर डेलिभरी र आन्दोलनको लागि AitM-आधारित विषाक्ततामा भर पर्छन्। विश्लेषकहरूले समान दृष्टिकोणहरू प्रयोग गर्ने कम्तिमा दस सक्रिय समूहहरू पहिचान गरेका छन्, जसले DNS हेरफेर यस पारिस्थितिक प्रणाली भित्र एक मनपर्ने प्रविधि भएको कुरालाई जोड दिन्छ।

हतियारयुक्त सफ्टवेयर अपडेटहरू आकर्षणको रूपमा

दस्तावेज गरिएका घुसपैठहरूमा, पीडितहरूलाई वैध तेस्रो-पक्ष सफ्टवेयरको रूपमा नक्कली अपडेटहरूद्वारा लोभ्याइएको थियो। एक प्रमुख प्रलोभनले चिनियाँ प्रविधि कम्पनी सोहुको भिडियो स्ट्रिमिङ अनुप्रयोग, सोहुभाको लागि अपडेटहरूको नक्कल गर्‍यो। अपडेट वैध डोमेन p2p.hd.sohu.com[.]cn बाट उत्पन्न भएको देखिन्छ, जसले दृढतापूर्वक सुझाव दिन्छ कि DNS विषाक्तता ट्राफिकलाई दुर्भावनापूर्ण सर्भरमा रिडिरेक्ट गर्न प्रयोग गरिएको थियो जब अनुप्रयोगले appdata\roaming\shapp\7.0.18.0\package अन्तर्गत यसको मानक निर्देशिकामा बाइनरीहरू अपडेट गर्ने प्रयास गरिरहेको थियो।

अनुसन्धानकर्ताहरूले Baidu को iQIYI भिडियो, IObit स्मार्ट डिफ्राग, र Tencent QQ का लागि नक्कली अपडेटरहरूको दुरुपयोग गर्ने समानान्तर अभियानहरू पनि अवलोकन गरे।

विश्वसनीय डोमेनहरू मार्फत बहु-चरण पेलोड डेलिभरी

नक्कली अपडेटको सफल कार्यान्वयनले गर्दा शेलकोड सुरु गर्ने प्रारम्भिक लोडरको तैनाती भयो। यो शेलकोडले PNG छविको रूपमा भेषमा राखिएको एन्क्रिप्टेड दोस्रो-चरणको पेलोड पुन: प्राप्त गर्‍यो, फेरि DNS विषाक्तता मार्फत, यस पटक वैध डोमेन dictionary.com को दुरुपयोग गर्दै।

आक्रमणकारीहरूले DNS रिजोल्युसनलाई हेरफेर गरे ताकि dictionary.com ले आक्रमणकारी-नियन्त्रित IP ठेगानाहरूमा समाधान गरोस्, जुन पीडितको भौगोलिक स्थान र ISP द्वारा छनौट रूपमा निर्धारण गरिन्छ। यो पेलोड प्राप्त गर्न प्रयोग गरिएको HTTP अनुरोधमा पीडितको विन्डोज संस्करण समावेश थियो, जसले आक्रमणकारीहरूलाई विशिष्ट अपरेटिङ सिस्टम निर्माणहरूमा फलो-अन कार्यहरू अनुकूलित गर्न सक्षम बनायो। यो चयनात्मक लक्ष्यीकरणले MACMA भनेर चिनिने macOS मालवेयरको वितरण सहित समूहको वाटरिंग होल आक्रमणहरूको पूर्व प्रयोगलाई प्रतिध्वनित गर्दछ।

DNS विषाक्तता कसरी प्राप्त भएको हुन सक्छ

DNS प्रतिक्रियाहरूलाई विषाक्त बनाउन प्रयोग गरिएको सटीक विधि पुष्टि नभए पनि, अनुसन्धानकर्ताहरूले दुई प्राथमिक सम्भावनाहरू शंका गर्छन्:

• पीडित ISP हरूको छनौटपूर्ण सम्झौता, सम्भावित रूपमा DNS ट्राफिक हेरफेर गर्न एज उपकरणहरूमा नेटवर्क प्रत्यारोपणहरू समावेश गर्दै।
• स्थानीय रूपमा DNS प्रतिक्रियाहरू परिवर्तन गर्न पीडित वातावरण भित्र राउटर वा फायरवालहरूको प्रत्यक्ष सम्झौता।

परिष्कृत लोडर चेन र अनुकूलन इन्क्रिप्शन

दोस्रो चरणको मालवेयर डेलिभरी प्रक्रिया जानाजानी जटिल छ। प्रारम्भिक शेलकोडले पीडित-विशिष्ट पेलोडलाई डिक्रिप्ट र कार्यान्वयन गर्दछ, प्रत्येक लक्ष्यको लागि एक अद्वितीय इन्क्रिप्टेड फाइल उत्पन्न गरेर पत्ता लगाउने क्षमता कम गर्ने विश्वास गरिएको दृष्टिकोण।

libpython2.4.dll को रूपमा भेषमा राखिएको माध्यमिक लोडर, पुन: नामाकरण गरिएको, पुरानो python.exe लाई साइडलोड गर्ने कार्यमा निर्भर गर्दछ। एक पटक कार्यान्वयन भएपछि, यसले C:\ProgramDat\Microsoft\eHome\perf.dat बाट पढेर अर्को चरणको पेलोड पुन: प्राप्त गर्दछ र डिक्रिप्ट गर्दछ। यो फाइलमा मालवेयर छ जुन पहिले XOR-इन्क्रिप्ट गरिएको थियो, त्यसपछि डिक्रिप्ट गरिएको थियो, र अन्तमा माइक्रोसफ्टको डेटा सुरक्षा API (DPAPI) र RC5 एल्गोरिथ्मको अनुकूलन हाइब्रिड प्रयोग गरेर पुन: इन्क्रिप्ट गरिएको थियो। यो डिजाइनले पेलोडलाई मूल पीडित प्रणालीमा मात्र डिक्रिप्ट गर्न सकिन्छ भन्ने कुरा सुनिश्चित गर्दछ, जसले अवरोध र अफलाइन विश्लेषणलाई उल्लेखनीय रूपमा जटिल बनाउँछ।

MgBot: एक गोप्य र सक्षम प्रत्यारोपण

डिक्रिप्शन पछि, पेलोडलाई वैध svchost.exe प्रक्रियामा इन्जेक्ट गरिन्छ, जसले आफूलाई MgBot ब्याकडोरको एक प्रकारको रूपमा प्रकट गर्दछ। यो मोड्युलर इम्प्लान्टले जासुसी कार्यहरूको विस्तृत दायरालाई समर्थन गर्दछ, जसमा समावेश छन्:

• फाइल सङ्कलन र निष्कासन
• किस्ट्रोक लगिङ र क्लिपबोर्ड कटाई
• अडियो रेकर्डिङ
• ब्राउजरमा भण्डारण गरिएका प्रमाणपत्रहरूको चोरी

यी क्षमताहरूले आक्रमणकारीहरूलाई सम्झौता गरिएका प्रणालीहरूमा दीर्घकालीन, गोप्य पहुँच कायम राख्न सक्षम बनाउँछन्।

एक विकसित र निरन्तर खतरा

यो अभियानले इभासिभ पाण्डाको निरन्तर विकास र प्राविधिक परिष्कारलाई हाइलाइट गर्दछ। DNS विषाक्तता, विश्वसनीय-ब्रान्ड प्रतिरूपण, बहु-स्तरीय लोडरहरू, र प्रणाली-बाउन्ड इन्क्रिप्शनलाई संयोजन गरेर, समूहले उच्च-मूल्य लक्ष्यहरूमा निरन्तर पहुँच कायम राख्दै प्रतिरक्षाबाट बच्ने स्पष्ट क्षमता प्रदर्शन गर्दछ। यो अपरेशनले संवेदनशील वातावरणमा बलियो DNS सुरक्षा, आपूर्ति श्रृंखला प्रमाणीकरण, र अद्यावधिक संयन्त्रहरूको निगरानीको आवश्यकतालाई बलियो बनाउँछ।