Скидка на мультилицензию
База данных угроз Бэкдоры MgBot Backdoor

MgBot Backdoor

К Mezo году в Бэкдоры, Расширенная постоянная угроза (APT) году
Перевести на:

Сложная, ориентированная на Китай операция по распространению сложных целевых угроз (APT) была приписана длительной кампании кибершпионажа, в ходе которой использовалась инфраструктура системы доменных имен (DNS) для распространения бэкдора MgBot. Кампания была сосредоточена на тщательно отобранных жертвах в Турции, Китае и Индии и продолжалась с ноября 2022 года по ноябрь 2024 года.

Противник, стоящий за операцией

Эта активность связана с группировкой, широко известной как Evasive Panda, также отслеживаемой под названиями Bronze Highland, Daggerfly и StormBamboo. По оценкам, эта группа действует как минимум с 2012 года и известна своими целенаправленными вторжениями, а не масштабными, ситуативными атаками.

«Противник в центре» как ключевая тактика

В основе кампании лежало использование методов атаки типа «злоумышленник посередине» (AitM). Злоумышленники манипулировали DNS-ответами таким образом, чтобы жертвы незаметно перенаправлялись на инфраструктуру, находящуюся под их контролем. Загрузчики вредоносного ПО размещались в точно определенных местах файлов, а зашифрованные компоненты размещались на серверах, контролируемых злоумышленниками, и доставлялись только в ответ на конкретные DNS-запросы, связанные с легитимными веб-сайтами.

Схема злоупотребления отравлением DNS

Эта кампания не является единичным случаем. Evasive Panda неоднократно демонстрировала экспертные знания в области отравления DNS. Более ранние исследования выявили аналогичную тактику в апреле 2023 года, когда группа, вероятно, использовала либо компрометацию цепочки поставок, либо атаку типа «машина времени» для распространения троянизированных версий доверенного программного обеспечения, такого как Tencent QQ, против международной неправительственной организации в материковом Китае.

В августе 2024 года появились новые сообщения о том, что группа взломала систему неназванного интернет-провайдера (ISP), используя отравленные DNS-ответы для распространения вредоносных обновлений программного обеспечения среди выбранных целей.

Более широкая экосистема прокитайских игроков, использующих тактику «машины передвижения».

Evasive Panda является частью более широкой группы угроз, связанных с Китаем, которые используют атаки типа «атака на цель» (AitM) для доставки и распространения вредоносного ПО внутри сетей. Аналитики выявили по меньшей мере десять активных групп, использующих аналогичные подходы, что подчеркивает, что манипулирование DNS стало излюбленным методом в этой экосистеме.

Использование обновлений программного обеспечения в качестве приманки

В задокументированных случаях вторжений жертв заманивали поддельными обновлениями, маскирующимися под легитимное стороннее программное обеспечение. Одна из наиболее известных приманок выдавала себя за обновления для SohuVA, приложения для потокового видео от китайской технологической компании Sohu. Обновление, по-видимому, исходило с легитимного домена p2p.hd.sohu.com[.]cn, что убедительно свидетельствует об использовании DNS-отражения для перенаправления трафика на вредоносный сервер, пока приложение пыталось обновить бинарные файлы в своем стандартном каталоге в папке appdata\roaming\shapp\7.0.18.0\package.

Исследователи также наблюдали параллельные кампании, в которых использовались поддельные обновления для сервисов iQIYI Video от Baidu, IObit Smart Defrag и Tencent QQ.

Многоэтапная доставка полезной нагрузки через доверенные домены

Успешное выполнение поддельного обновления привело к развертыванию начального загрузчика, запустившего шеллкод. Этот шеллкод извлек зашифрованную полезную нагрузку второго этапа, замаскированную под изображение PNG, снова путем отравления DNS, на этот раз используя легитимный домен dictionary.com.

Злоумышленники манипулировали разрешением DNS таким образом, что dictionary.com разрешался в IP-адреса, контролируемые злоумышленниками, которые избирательно определялись географическим местоположением жертвы и её интернет-провайдером. HTTP-запрос, использованный для получения этой полезной нагрузки, включал версию Windows жертвы, что, вероятно, позволяло злоумышленникам адаптировать последующие действия к конкретным сборкам операционной системы. Такая избирательная направленность напоминает предыдущие атаки группы, в том числе распространение вредоносного ПО для macOS, известного как MACMA.

Как могла быть осуществлена атака с использованием DNS-запросов

Хотя точный метод, используемый для отравления DNS-ответов, до сих пор не подтвержден, следователи предполагают две основные возможности:

  • Избирательная компрометация интернет-провайдеров-жертв, потенциально включающая внедрение сетевых имплантатов в периферийные устройства для манипулирования DNS-трафиком.
  • Прямой взлом маршрутизаторов или межсетевых экранов в среде жертвы с целью изменения локальных DNS-ответов.

Усовершенствованная цепочка загрузки и пользовательское шифрование

Процесс доставки вредоносного ПО на втором этапе намеренно сложен. Первоначальный шеллкод расшифровывает и выполняет полезную нагрузку, специфичную для каждой жертвы, — такой подход, как считается, снижает вероятность обнаружения за счет генерации уникального зашифрованного файла для каждой цели.

Вторичный загрузчик, замаскированный под libpython2.4.dll, использует переименованный, устаревший python.exe для загрузки. После запуска он извлекает и расшифровывает полезную нагрузку следующего этапа, считывая данные из файла C:\ProgramData\Microsoft\eHome\perf.dat. Этот файл содержит вредоносное ПО, которое сначала было зашифровано с помощью XOR-шифрования, затем расшифровано и, наконец, повторно зашифровано с использованием гибридного алгоритма, сочетающего API защиты данных Microsoft (DPAPI) и алгоритм RC5. Такая конструкция гарантирует, что полезная нагрузка может быть расшифрована только на исходной системе жертвы, что значительно усложняет перехват и автономный анализ.

MgBot: незаметный и функциональный имплантат

После расшифровки полезная нагрузка внедряется в легитимный процесс svchost.exe, демонстрируя себя как вариант бэкдора MgBot. Этот модульный имплант поддерживает широкий спектр шпионских функций, включая:

  • Сбор и извлечение файлов
  • Запись нажатий клавиш и сбор данных из буфера обмена
  • Аудиозапись
  • Кража учетных данных, хранящихся в браузере.

Эти возможности позволяют злоумышленникам сохранять долгосрочный, скрытый доступ к скомпрометированным системам.

Развивающаяся и устойчивая угроза

Эта кампания подчеркивает продолжающуюся эволюцию и техническую изощренность Evasive Panda. Сочетая отравление DNS, имитацию доверенных брендов, многоуровневые загрузчики и системное шифрование, группа демонстрирует явную способность обходить средства защиты, сохраняя при этом постоянный доступ к важным целям. Операция подтверждает необходимость усиления безопасности DNS, проверки цепочки поставок и мониторинга механизмов обновления в чувствительных средах.

В тренде

Search.ansiblealgorithm.com

Мошеннические сайты, Браузерные хайджекеры, Потенциально нежелательные программы
В современном мире угроз защита вашей системы от навязчивого и ненадежного программного обеспечения так же важна, как и защита от откровенного вредоносного ПО. Потенциально нежелательные программы...

Важное предупреждение о мошенничестве с электронными...

Фишинг, Спам
Неожиданные электронные письма, требующие срочного внимания, — излюбленное оружие киберпреступников. Невозможно переоценить важность бдительности при появлении неожиданных сообщений, особенно тех, которые предупреждают о проблемах с учетной записью или о недавно опубликованных документах. Одна из таких угроз, циркулирующих в интернете, — это мошенническая схема с электронными письмами...

Наиболее просматриваемые

Загрузка...