Multilicenčná zľavová ponuka
Databáza hrozieb Zadné vrátka Zadné vrátka MgBot

Zadné vrátka MgBot

Do roku Mezo v roku Zadné vrátka, Pokročilá perzistentná hrozba (APT)
Preložiť do:

Sofistikovaná operácia pokročilých perzistentných hrozieb (APT) spojená s Čínou bola pripísaná dlhotrvajúcej kybernetickej špionážnej kampani, ktorá zneužívala infraštruktúru systému doménových mien (DNS) na doručenie zadných vrátok MgBot. Kampaň sa zamerala na starostlivo vybrané obete v Turecku, Číne a Indii a zostala aktívna od novembra 2022 do novembra 2024.

Protivník za operáciou

Táto aktivita bola spojená s aktérom hrozby všeobecne známym ako Evasive Panda, sledovaným aj pod názvami Bronze Highland, Daggerfly a StormBamboo. Táto skupina bola považovaná za operačnú minimálne od roku 2012 a je známa skôr cielenými útokmi než rozsiahlymi, oportunistickými útokmi.

Protivník v strede ako základná taktika

Jadrom kampane bolo použitie techník typu „protivník v strede“ (AitM). Útočníci manipulovali s odpoveďami DNS tak, aby boli obete ticho presmerované na infraštruktúru, ktorú mali pod kontrolou. Zavádzače škodlivého softvéru boli umiestnené na presných miestach so súbormi, zatiaľ čo šifrované komponenty boli hostované na serveroch kontrolovaných útočníkom a doručované iba v reakcii na konkrétne dotazy DNS prepojené s legitímnymi webovými stránkami.

Vzor zneužívania DNS otravou

Táto kampaň nie je ojedinelý prípad. Evasive Panda opakovane preukázala odborné znalosti v oblasti otravy DNS. Skorší výskum poukázal na podobné taktiky v apríli 2023, keď skupina pravdepodobne využila buď kompromitáciu dodávateľského reťazca, alebo útok AitM na distribúciu trójskych koní verzií dôveryhodného softvéru, ako je Tencent QQ, proti medzinárodnej mimovládnej organizácii v pevninskej Číne.

V auguste 2024 ďalšie správy odhalili, že skupina ohrozila nemenovaného poskytovateľa internetových služieb (ISP) a zneužila napadnuté odpovede DNS na distribúciu aktualizácií škodlivého softvéru vybraným cieľom.

Širší ekosystém aktérov AitM zosúladených s Čínou

Evasive Panda je súčasťou širšej siete čínskych skupín hrozieb, ktoré sa pri doručovaní a pohybe škodlivého softvéru v rámci sietí spoliehajú na otravu škodlivým softvérom založenú na technológii AitM. Analytici identifikovali najmenej desať aktívnych skupín, ktoré používajú podobné prístupy, čo zdôrazňuje, že manipulácia s DNS sa v tomto ekosystéme stala obľúbenou technikou.

Aktualizácie softvéru zo zbrane ako návnady

V zdokumentovaných útokoch boli obete lákané falošnými aktualizáciami maskovanými ako legitímny softvér tretích strán. Jedna z prominentných lákadiel sa vydávala za aktualizácie pre SohuVA, aplikáciu na streamovanie videa od čínskej technologickej spoločnosti Sohu. Aktualizácia zrejme pochádzala z legitímnej domény p2p.hd.sohu.com[.]cn, čo silne naznačuje, že na presmerovanie prevádzky na škodlivý server bolo použité otravovanie DNS, zatiaľ čo sa aplikácia pokúšala aktualizovať binárne súbory vo svojom štandardnom adresári v priečinku appdata\roaming\shapp\7.0.18.0\package.

Výskumníci tiež pozorovali paralelné kampane zneužívajúce falošné aktualizačné programy pre Baidu iQIYI Video, IObit Smart Defrag a Tencent QQ.

Viacstupňové doručovanie užitočného zaťaženia prostredníctvom dôveryhodných domén

Úspešné spustenie falošnej aktualizácie viedlo k nasadeniu počiatočného zavádzača, ktorý spustil shellcode. Tento shellcode načítal zašifrované užitočné zaťaženie druhej fázy maskované ako obrázok PNG, opäť prostredníctvom DNS poisoningu, tentoraz zneužívajúc legitímnu doménu dictionary.com.

Útočníci manipulovali s rozpoznávaním DNS tak, aby sa dictionary.com rozpoznával na IP adresy kontrolované útočníkom, selektívne určené geografickou polohou obete a poskytovateľom internetových služieb. HTTP požiadavka použitá na načítanie tohto obsahu obsahovala verziu systému Windows obete, čo pravdepodobne umožnilo útočníkom prispôsobiť následné akcie konkrétnym zostavám operačného systému. Toto selektívne zacielenie pripomína predchádzajúce používanie útokov typu „watering hole“ skupinou vrátane distribúcie malvéru pre macOS známeho ako MACMA.

Ako mohlo dôjsť k otrave DNS

Hoci presná metóda použitá na zneužitie DNS odpovedí zostáva nepotvrdená, vyšetrovatelia majú podozrenie na dve hlavné možnosti:

  • Selektívne ohrozenie poskytovateľov internetových služieb obetí, potenciálne zahŕňajúce sieťové implantáty na okrajových zariadeniach s cieľom manipulovať s prevádzkou DNS.
  • Priame narušenie smerovačov alebo firewallov v prostredí obete s cieľom lokálne zmeniť odpovede DNS.

Sofistikovaný reťazec načítavania a vlastné šifrovanie

Proces doručovania škodlivého softvéru v druhej fáze je zámerne zložitý. Počiatočný shellcode dešifruje a spúšťa dáta špecifické pre obeť, čo je prístup, o ktorom sa predpokladá, že znižuje detekciu vygenerovaním jedinečného zašifrovaného súboru pre každý cieľ.

Sekundárny zavádzač, maskovaný ako libpython2.4.dll, sa spolieha na bočné načítanie premenovaného, zastaraného súboru python.exe. Po spustení načíta a dešifruje dáta nasledujúcej fázy čítaním z priečinka C:\ProgramData\Microsoft\eHome\perf.dat. Tento súbor obsahuje malvér, ktorý bol najprv zašifrovaný pomocou XOR, potom dešifrovaný a nakoniec znovu zašifrovaný pomocou vlastného hybridu rozhrania Microsoft Data Protection API (DPAPI) a algoritmu RC5. Tento dizajn zabezpečuje, že dáta je možné dešifrovať iba v pôvodnom systéme obete, čo výrazne komplikuje odpočúvanie a offline analýzu.

MgBot: Nenápadný a schopný implantát

Po dešifrovaní sa užitočné zaťaženie vloží do legitímneho procesu svchost.exe, čím sa odhalí ako variant zadných vrátok MgBot. Tento modulárny implantát podporuje širokú škálu špionážnych funkcií vrátane:

  • Zber a exfiltrácia súborov
  • Zaznamenávanie stlačení klávesov a zber údajov zo schránky
  • Zvukový záznam
  • Krádež prihlasovacích údajov uložených v prehliadači

Vďaka týmto schopnostiam si útočníci môžu dlhodobo a tajne udržiavať prístup k napadnutým systémom.

Vyvíjajúca sa a pretrvávajúca hrozba

Táto kampaň zdôrazňuje neustály vývoj a technickú sofistikovanosť skupiny Evasive Panda. Kombináciou DNS poisoningu, imitácie dôveryhodnej značky, viacvrstvových zavádzacích nástrojov a šifrovania viazaného na systém skupina preukazuje jasnú schopnosť obchádzať obranu a zároveň si udržiavať trvalý prístup k cieľom s vysokou hodnotou. Táto operácia posilňuje potrebu silnejšieho zabezpečenia DNS, overovania dodávateľského reťazca a monitorovania mechanizmov aktualizácií v citlivých prostrediach.

Trendy

Dôležité upozornenie týkajúce sa podvodu s e-mailom...

Phishing, Spam
Neočakávané e-maily, ktoré si vyžadujú naliehavú pozornosť, sú obľúbenou zbraňou kyberzločincov. Nemožno dostatočne zdôrazniť, aké dôležité je zostať ostražití, keď sa správy objavia z ničoho nič, najmä tie, ktoré varujú pred problémami s účtom alebo novo zverejnenými dokumentmi. Jednou z takýchto hrozieb kolujúcich online je e-mailový podvod s názvom „Faktúry sa uvoľňujú“, čo je klamlivá...

Najviac videné

Načítava...