Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Ușile din spate MgBot Backdoor

MgBot Backdoor

Până în Mezo în Ușile din spate, Amenințare persistentă avansată (APT)
Tradu in:

O operațiune sofisticată de tip „amenințare persistentă avansată” (APT), aliniată cu China, a fost atribuită unei campanii de spionaj cibernetic de lungă durată care a abuzat de infrastructura Sistemului de nume de domeniu (DNS) pentru a distribui backdoor-ul MgBot. Campania s-a concentrat pe victime atent selectate din Turcia, China și India și a rămas activă din noiembrie 2022 până în noiembrie 2024.

Adversarul din spatele operațiunii

Activitatea a fost asociată cu actorul amenințător cunoscut sub numele de Evasive Panda, urmărit și sub numele de Bronze Highland, Daggerfly și StormBamboo. Acest grup a fost evaluat ca fiind operațional cel puțin din 2012 și este cunoscut pentru intruziuni extrem de precise, mai degrabă decât pentru atacuri oportuniste de amploare.

Adversarul la mijloc ca tactică centrală

În centrul campaniei s-a aflat utilizarea tehnicilor de tip „adversar-in-the-middle” (AitM). Atacatorii au manipulat răspunsurile DNS astfel încât victimele să fie redirecționate silențios către infrastructura aflată sub controlul lor. Încărcătoarele de programe malware au fost plasate în locații precise pentru fișiere, în timp ce componentele criptate au fost găzduite pe servere controlate de atacatori și livrate doar ca răspuns la interogări DNS specifice legate de site-uri web legitime.

Un model de abuz de otrăvire DNS

Această campanie nu este un caz izolat. Evasive Panda a demonstrat în repetate rânduri expertiză în otrăvirea DNS. Cercetări anterioare au evidențiat tactici similare în aprilie 2023, când grupul a folosit probabil fie o compromitere a lanțului de aprovizionare, fie un atac AitM pentru a distribui versiuni troienizate ale unor software de încredere, cum ar fi Tencent QQ, împotriva unui ONG internațional din China continentală.

În august 2024, rapoarte suplimentare au dezvăluit că grupul compromise un furnizor de servicii de internet (ISP) anonim, abuzând de răspunsuri DNS otrăvite pentru a distribui actualizări de software rău intenționat către anumite ținte.

Un ecosistem mai larg de actori AitM aliniați cu China

Evasive Panda face parte dintr-un peisaj mai larg de grupuri de amenințări aliniate cu China, care se bazează pe otrăvirea bazată pe AitM pentru livrarea și mișcarea de programe malware în rețele. Analiștii au identificat cel puțin zece grupuri active care utilizează abordări similare, subliniind faptul că manipularea DNS a devenit o tehnică preferată în cadrul acestui ecosistem.

Actualizări de software transformate în arme ca momeală

În intruziunile documentate, victimele au fost atrase cu actualizări false care se deghizau în software terț legitim. O momeală proeminentă a dat naștere unor actualizări pentru SohuVA, o aplicație de streaming video de la compania chineză de tehnologie Sohu. Actualizarea părea să provină de la domeniul legitim p2p.hd.sohu.com[.]cn, ceea ce sugerează cu tărie că otrăvirea DNS a fost utilizată pentru a redirecționa traficul către un server rău intenționat în timp ce aplicația încerca să actualizeze fișierele binare din directorul său standard, sub appdata\roaming\shapp\7.0.18.0\package.

Cercetătorii au observat, de asemenea, campanii paralele care abuzează de programe de actualizare false pentru iQIYI Video de la Baidu, IObit Smart Defrag și Tencent QQ.

Livrare de sarcină utilă în mai multe etape prin domenii de încredere

Executarea cu succes a actualizării false a dus la implementarea unui încărcător inițial care a lansat shellcode. Acest shellcode a recuperat o utilă criptată din a doua etapă, deghizată într-o imagine PNG, din nou prin otrăvire DNS, de data aceasta abuzând de domeniul legitim dictionary.com.

Atacatorii au manipulat rezoluția DNS astfel încât dictionary.com să rezolve adresele IP controlate de atacator, determinate selectiv de locația geografică și de furnizorul de servicii de internet al victimei. Cererea HTTP utilizată pentru a prelua această sarcină utilă a inclus versiunea de Windows a victimei, permițând probabil atacatorilor să adapteze acțiunile ulterioare la anumite versiuni ale sistemului de operare. Această direcționare selectivă reflectă utilizarea anterioară de către grup a atacurilor de tip „watering hole”, inclusiv distribuirea de malware macOS cunoscut sub numele de MACMA.

Cum s-ar fi putut realiza otrăvirea DNS

Deși metoda precisă utilizată pentru otrăvirea răspunsurilor DNS rămâne neconfirmată, anchetatorii suspectează două posibilități principale:

  • Compromiterea selectivă a furnizorilor de servicii de internet victime, implicând potențial implanturi de rețea pe dispozitivele de la margine pentru a manipula traficul DNS.
  • Compromiterea directă a routerelor sau firewall-urilor din mediile victimelor pentru a modifica răspunsurile DNS la nivel local.

Lanț de încărcare sofisticat și criptare personalizată

Procesul de livrare a malware-ului în a doua etapă este deliberat complex. Codul shell inițial decriptează și execută o sarcină utilă specifică victimei, o abordare despre care se crede că reduce detectarea prin generarea unui fișier criptat unic pentru fiecare țintă.

Un încărcător secundar, deghizat în libpython2.4.dll, se bazează pe încărcarea laterală a unui fișier python.exe redenumit și învechit. Odată executat, acesta preia și decriptează sarcina utilă din etapa următoare citind din C:\ProgramData\Microsoft\eHome\perf.dat. Acest fișier conține malware care a fost mai întâi criptat prin XOR, apoi decriptat și în final recriptat folosind un hibrid personalizat între API-ul de protecție a datelor (DPAPI) de la Microsoft și algoritmul RC5. Acest design asigură că sarcina utilă poate fi decriptată doar pe sistemul victimă original, complicând semnificativ interceptarea și analiza offline.

MgBot: Un implant discret și capabil

După decriptare, sarcina utilă este injectată într-un proces legitim svchost.exe, dezvăluindu-se ca o variantă a backdoor-ului MgBot. Acest implant modular suportă o gamă largă de funcții de spionaj, inclusiv:

  • Colectarea și exfiltrarea fișierelor
  • Înregistrarea apăsărilor de taste și recoltarea clipboard-ului
  • Înregistrare audio
  • Furtul credențialelor stocate în browser

Aceste capabilități permit atacatorilor să mențină accesul secret, pe termen lung, la sistemele compromise.

O amenințare în evoluție și persistentă

Această campanie evidențiază evoluția continuă și sofisticarea tehnică a Evasive Panda. Prin combinarea otrăvirii DNS, a uzurpării identității mărcilor de încredere, a încărcătoarelor multi-strat și a criptării legate de sistem, grupul demonstrează o capacitate clară de a evita apărarea, menținând în același timp accesul persistent la ținte de mare valoare. Operațiunea întărește necesitatea unei securități DNS mai puternice, a validării lanțului de aprovizionare și a monitorizării mecanismelor de actualizare în medii sensibile.

Trending

Alertă importantă privind escrocheria prin e-mail a...

phishing, Spam
E-mailurile neașteptate care necesită atenție urgentă sunt o armă preferată a infractorilor cibernetici. Nu se poate sublinia îndeajuns cât de important este să rămâneți vigilenți atunci când apar mesaje pe neașteptate, în special cele care avertizează asupra problemelor contului sau a documentelor recent lansate. O astfel de amenințare care circulă online este escrocheria prin e-mailuri...

Cele mai văzute

Se încarcă...