Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Achterdeurtjes MgBot-achterdeur

MgBot-achterdeur

Tegen Mezo in Achterdeurtjes, Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:

Een geavanceerde, op China gerichte APT-operatie (Advanced Persistent Threat) wordt toegeschreven aan een langdurige cyberespionagecampagne die misbruik maakte van de DNS-infrastructuur (Domain Name System) om de MgBot-achterdeur te verspreiden. De campagne richtte zich op zorgvuldig geselecteerde slachtoffers in Turkije, China en India en was actief van november 2022 tot november 2024.

De tegenstander achter de operatie

De activiteit wordt in verband gebracht met de dreigingsactor die algemeen bekend staat als Evasive Panda, ook wel bekend onder de namen Bronze Highland, Daggerfly en StormBamboo. Deze groep is naar schatting al sinds minstens 2012 actief en staat bekend om zeer gerichte inbraken in plaats van brede, opportunistische aanvallen.

De tegenstander in het midden als kerntactiek

De kern van de campagne was het gebruik van 'adversary-in-the-middle' (AitM)-technieken. De aanvallers manipuleerden DNS-reacties, waardoor slachtoffers ongemerkt werden omgeleid naar infrastructuur onder hun controle. Malware-loaders werden op precieze bestandslocaties geplaatst, terwijl versleutelde componenten werden gehost op servers die door de aanvallers werden beheerd en alleen werden geleverd als reactie op specifieke DNS-query's die gekoppeld waren aan legitieme websites.

Een patroon van DNS-vergiftiging en misbruik

Deze campagne is geen op zichzelf staand geval. Evasive Panda heeft herhaaldelijk blijk gegeven van expertise in DNS-vergiftiging. Eerder onderzoek wees op vergelijkbare tactieken in april 2023, toen de groep waarschijnlijk gebruikmaakte van een inbreuk op de toeleveringsketen of een AitM-aanval om getrojaniseerde versies van vertrouwde software, zoals Tencent QQ, te verspreiden tegen een internationale ngo in China.

In augustus 2024 bleek uit verdere berichtgeving dat de groep een niet nader genoemde internetprovider (ISP) had gehackt en misbruik maakte van vervalste DNS-reacties om kwaadaardige software-updates te verspreiden onder geselecteerde doelwitten.

Een breder ecosysteem van op China georiënteerde AitM-actoren

Evasive Panda maakt deel uit van een breder netwerk van aan China gelieerde dreigingsgroepen die gebruikmaken van AitM-gebaseerde malwareverspreiding voor de levering en verspreiding van malware binnen netwerken. Analisten hebben minstens tien actieve groepen geïdentificeerd die vergelijkbare methoden gebruiken, wat benadrukt dat DNS-manipulatie een favoriete techniek is geworden binnen dit ecosysteem.

Software-updates die als wapen worden ingezet, als lokmiddel.

Bij de gedocumenteerde inbraken werden slachtoffers gelokt met nep-updates die zich voordeden als legitieme software van derden. Een veelgebruikte lokmethode betrof updates voor SohuVA, een videostreamingapplicatie van het Chinese technologiebedrijf Sohu. De update leek afkomstig te zijn van het legitieme domein p2p.hd.sohu.com[.]cn, wat sterk suggereert dat DNS-vergiftiging werd gebruikt om verkeer om te leiden naar een kwaadwillende server, terwijl de applicatie probeerde binaire bestanden in de standaarddirectory onder appdata\roaming\shapp\7.0.18.0\package bij te werken.

Onderzoekers observeerden ook parallelle campagnes die misbruik maakten van nep-updaters voor Baidu's iQIYI Video, IObit Smart Defrag en Tencent QQ.

Payloadlevering in meerdere fasen via vertrouwde domeinen

De succesvolle uitvoering van de nep-update leidde tot de implementatie van een initiële loader die shellcode startte. Deze shellcode haalde een versleutelde payload van de tweede fase op, vermomd als een PNG-afbeelding, wederom via DNS-vergiftiging, ditmaal met misbruik van het legitieme domein dictionary.com.

De aanvallers manipuleerden de DNS-resolutie zodat dictionary.com werd omgezet naar door de aanvallers gecontroleerde IP-adressen, die selectief werden bepaald op basis van de geografische locatie en internetprovider van het slachtoffer. Het HTTP-verzoek dat werd gebruikt om deze payload op te halen, bevatte de Windows-versie van het slachtoffer, waardoor de aanvallers waarschijnlijk vervolgacties konden afstemmen op specifieke besturingssysteemversies. Deze selectieve targeting doet denken aan de eerdere watering hole-aanvallen van de groep, waaronder de verspreiding van macOS-malware die bekend staat als MACMA.

Hoe de DNS-vergiftiging mogelijk is uitgevoerd

Hoewel de precieze methode die gebruikt wordt om DNS-reacties te manipuleren nog niet bevestigd is, vermoeden onderzoekers twee belangrijke mogelijkheden:

  • Selectieve compromittering van slachtoffer-ISP's, mogelijk met behulp van netwerkimplantaten op randapparatuur om DNS-verkeer te manipuleren.
  • Directe compromittering van routers of firewalls binnen de omgeving van het slachtoffer om lokaal DNS-reacties te wijzigen.

Geavanceerde laadketen en aangepaste versleuteling

Het tweede stadium van het malwareverspreidingsproces is opzettelijk complex. De initiële shellcode decodeert en voert een slachtofferspecifieke payload uit, een aanpak waarvan wordt aangenomen dat deze detectie bemoeilijkt door voor elk doelwit een uniek versleuteld bestand te genereren.

Een secundaire loader, vermomd als libpython2.4.dll, maakt gebruik van sideloading van een hernoemd, verouderd python.exe-bestand. Na uitvoering haalt het de payload voor de volgende fase op en decodeert deze door te lezen uit C:\ProgramData\Microsoft\eHome\perf.dat. Dit bestand bevat malware die eerst XOR-versleuteld, vervolgens gedecodeerd en ten slotte opnieuw versleuteld is met een aangepaste combinatie van Microsofts Data Protection API (DPAPI) en het RC5-algoritme. Dit ontwerp zorgt ervoor dat de payload alleen op het oorspronkelijke slachtoffersysteem kan worden gedecodeerd, wat onderschepping en offline analyse aanzienlijk bemoeilijkt.

MgBot: Een onopvallend en capabel implantaat

Na decryptie wordt de payload geïnjecteerd in een legitiem svchost.exe-proces, waardoor deze zich openbaart als een variant van de MgBot-backdoor. Deze modulaire implant ondersteunt een breed scala aan spionagefuncties, waaronder:

  • Bestandsverzameling en -exfiltratie
  • Toetsenbordregistratie en klembordgegevens
  • Audio-opname
  • Diefstal van in de browser opgeslagen inloggegevens

Deze mogelijkheden stellen de aanvallers in staat om langdurig en heimelijk toegang te behouden tot gecompromitteerde systemen.

Een evoluerende en aanhoudende dreiging

Deze campagne benadrukt de voortdurende evolutie en technische geavanceerdheid van Evasive Panda. Door DNS-vergiftiging, het nabootsen van vertrouwde merken, meerlaagse loaders en systeemgebonden encryptie te combineren, toont de groep aan dat ze in staat zijn om verdedigingsmechanismen te omzeilen en tegelijkertijd onafgebroken toegang te behouden tot waardevolle doelwitten. De operatie onderstreept de noodzaak van sterkere DNS-beveiliging, validatie van de toeleveringsketen en monitoring van updateprocessen in gevoelige omgevingen.

Trending

Meest bekeken

Bezig met laden...