Oferta rabatowa na wiele licencji
Baza danych zagrożeń Tylne drzwi Tylne drzwi MgBot

Tylne drzwi MgBot

Do Mezo w Tylne drzwi, Zaawansowane trwałe zagrożenie (APT)
Przetłumacz na:

Zaawansowana operacja APT (Advanced Persistent Threat) prowadzona przez Chiny została przypisana długotrwałej kampanii cybernetycznego szpiegostwa, która wykorzystywała infrastrukturę DNS do dostarczania backdoora MgBot. Kampania koncentrowała się na starannie wybranych ofiarach w Turcji, Chinach i Indiach i trwała od listopada 2022 do listopada 2024 roku.

Przeciwnik stojący za operacją

Aktywność ta została powiązana z grupą cyberprzestępczą znaną powszechnie jako Evasive Panda, śledzoną również pod nazwami Bronze Highland, Daggerfly i StormBamboo. Grupa ta jest oceniana jako działająca co najmniej od 2012 roku i znana jest z wysoce ukierunkowanych włamań, a nie szerokich, oportunistycznych ataków.

Przeciwnik pośrodku jako podstawowa taktyka

Istotą kampanii było wykorzystanie technik „adversary-in-the-middle” (AitM). Atakujący manipulowali odpowiedziami DNS, aby ofiary były dyskretnie przekierowywane do kontrolowanej przez nich infrastruktury. Programy ładujące złośliwe oprogramowanie były umieszczane w precyzyjnie określonych lokalizacjach plików, a zaszyfrowane komponenty były hostowane na serwerach kontrolowanych przez atakujących i dostarczane wyłącznie w odpowiedzi na konkretne zapytania DNS powiązane z legalnymi stronami internetowymi.

Schemat nadużywania zatruwania DNS

Ta kampania nie jest odosobnionym przypadkiem. Evasive Panda wielokrotnie wykazała się wiedzą specjalistyczną w zakresie zatruwania DNS. Wcześniejsze badania ujawniły podobne taktyki w kwietniu 2023 roku, kiedy grupa prawdopodobnie wykorzystała naruszenie łańcucha dostaw lub atak AitM do dystrybucji zainfekowanych wersji zaufanego oprogramowania, takiego jak Tencent QQ, przeciwko międzynarodowej organizacji pozarządowej w Chinach kontynentalnych.

W sierpniu 2024 r. pojawiły się kolejne doniesienia o tym, że grupa włamała się do systemu anonimowego dostawcy usług internetowych (ISP), wykorzystując zatrute odpowiedzi DNS do dystrybucji złośliwych aktualizacji oprogramowania na wybrane cele.

Szerszy ekosystem aktorów AitM powiązanych z Chinami

Evasive Panda jest częścią szerszego spektrum grup zagrożeń powiązanych z Chinami, które wykorzystują zatruwanie oparte na AitM do dostarczania i rozprzestrzeniania złośliwego oprogramowania w sieciach. Analitycy zidentyfikowali co najmniej dziesięć aktywnych grup stosujących podobne metody, co podkreśla, że manipulacja DNS stała się popularną techniką w tym ekosystemie.

Aktualizacje oprogramowania jako broń wabiąca

W udokumentowanych włamaniach ofiary były wabione fałszywymi aktualizacjami podszywającymi się pod legalne oprogramowanie innych firm. Jedna z popularnych przynęt podszywała się pod aktualizacje SohuVA, aplikacji do strumieniowego przesyłania wideo chińskiej firmy technologicznej Sohu. Aktualizacja wydawała się pochodzić z legalnej domeny p2p.hd.sohu.com[.]cn, co silnie sugerowało, że zastosowano zatrucie DNS w celu przekierowania ruchu na złośliwy serwer, podczas gdy aplikacja próbowała zaktualizować pliki binarne w swoim standardowym katalogu appdata\roaming\shapp\7.0.18.0\package.

Badacze zaobserwowali również równoległe kampanie wykorzystujące fałszywe programy aktualizujące dla iQIYI Video firmy Baidu, IObit Smart Defrag i Tencent QQ.

Wieloetapowe dostarczanie ładunków za pośrednictwem zaufanych domen

Pomyślne wykonanie fałszywej aktualizacji doprowadziło do wdrożenia początkowego modułu ładującego, który uruchomił kod powłoki. Ten kod powłoki pobrał zaszyfrowany ładunek drugiego etapu podszywający się pod obraz PNG, ponownie poprzez zatrucie DNS, tym razem wykorzystując legalną domenę dictionary.com.

Atakujący manipulowali rozwiązywaniem nazw DNS, tak aby domena dictionary.com była rozwiązywana na kontrolowane przez atakującego adresy IP, selektywnie ustalane na podstawie lokalizacji geograficznej ofiary i dostawcy usług internetowych. Żądanie HTTP użyte do pobrania tego ładunku zawierało wersję systemu Windows ofiary, co prawdopodobnie umożliwiło atakującym dostosowanie dalszych działań do konkretnych wersji systemu operacyjnego. To selektywne ukierunkowanie nawiązuje do wcześniejszych ataków typu watering hole, w tym do dystrybucji złośliwego oprogramowania dla systemu macOS znanego jako MACMA.

Jak mogło dojść do zatrucia DNS

Chociaż dokładna metoda wykorzystywana do zatruwania odpowiedzi DNS pozostaje niepotwierdzona, śledczy podejrzewają dwie główne możliwości:

  • Selektywne naruszanie prywatności dostawców usług internetowych (ISP) ofiar, potencjalnie obejmujące implanty sieciowe na urządzeniach brzegowych w celu manipulowania ruchem DNS.
  • Bezpośrednie naruszenie bezpieczeństwa routerów lub zapór sieciowych w środowiskach ofiar w celu lokalnej zmiany odpowiedzi DNS.

Zaawansowany łańcuch ładowania i niestandardowe szyfrowanie

Proces dostarczania złośliwego oprogramowania w drugim etapie jest celowo skomplikowany. Początkowy kod powłoki odszyfrowuje i uruchamia ładunek specyficzny dla ofiary, co ma na celu ograniczenie wykrywalności poprzez generowanie unikalnego zaszyfrowanego pliku dla każdego celu.

Dodatkowy moduł ładujący, podszywający się pod libpython2.4.dll, opiera się na bocznym załadowaniu pliku python.exe o zmienionej nazwie i nieaktualnej wersji. Po uruchomieniu pobiera i odszyfrowuje ładunek kolejnego etapu, odczytując go z pliku C:\ProgramData\Microsoft\eHome\perf.dat. Plik ten zawiera złośliwe oprogramowanie, które zostało najpierw zaszyfrowane metodą XOR, następnie odszyfrowane, a na koniec ponownie zaszyfrowane za pomocą niestandardowego rozwiązania hybrydowego łączącego interfejs API ochrony danych Microsoft (DPAPI) z algorytmem RC5. Taka konstrukcja gwarantuje, że ładunek może zostać odszyfrowany tylko w systemie ofiary, co znacznie komplikuje przechwytywanie i analizę offline.

MgBot: dyskretny i wydajny implant

Po odszyfrowaniu, ładunek jest wstrzykiwany do legalnego procesu svchost.exe, ujawniając się jako wariant backdoora MgBot. Ten modułowy implant obsługuje szeroki zakres funkcji szpiegowskich, w tym:

  • Gromadzenie i eksfiltracja plików
  • Rejestrowanie naciśnięć klawiszy i zbieranie danych ze schowka
  • Nagrywanie dźwięku
  • Kradzież danych uwierzytelniających zapisanych w przeglądarce

Dzięki tym możliwościom atakujący mogą utrzymywać długotrwały, ukryty dostęp do naruszonych systemów.

Rozwijające się i trwałe zagrożenie

Ta kampania podkreśla ciągłą ewolucję i zaawansowanie techniczne Evasive Panda. Łącząc zatruwanie DNS, podszywanie się pod zaufaną markę, wielowarstwowe moduły ładujące i szyfrowanie systemowe, grupa demonstruje wyraźną zdolność do omijania zabezpieczeń, jednocześnie utrzymując stały dostęp do ważnych celów. Operacja ta wzmacnia potrzebę silniejszego zabezpieczenia DNS, walidacji łańcucha dostaw i monitorowania mechanizmów aktualizacji w środowiskach wrażliwych.

Popularne

Ważne ostrzeżenie dotyczące oszustwa e-mailowego...

Phishing, Spam
Niespodziewane e-maile, które wymagają pilnej reakcji, to ulubiona broń cyberprzestępców. Nie sposób przecenić znaczenia zachowania czujności w przypadku niespodziewanych wiadomości, zwłaszcza tych ostrzegających o problemach z kontem lub o udostępnieniu dokumentów. Jednym z takich zagrożeń krążących w sieci jest oszustwo e-mailowe „Invoices Are Being Released” (Faktury są udostępniane), czyli...

Najczęściej oglądane

Ładowanie...