Popust za več licenc
Podjetje o grožnjah Zadnja vrata Zadnja vrata MgBot

Zadnja vrata MgBot

Do leta Mezo leta Zadnja vrata, Napredna trajna grožnja (APT)
Prevedi v:

Sofisticirana operacija naprednih vztrajnih groženj (APT), usklajena s Kitajsko, je bila pripisana dolgotrajni kampanji kibernetskega vohunjenja, ki je zlorabila infrastrukturo sistema domenskih imen (DNS) za vzpostavitev zadnjih vrat MgBot. Kampanja se je osredotočila na skrbno izbrane žrtve v Turčiji, na Kitajskem in v Indiji ter je ostala aktivna od novembra 2022 do novembra 2024.

Nasprotnik za operacijo

Dejavnost je bila povezana z akterjem grožnje, splošno znanim kot Evasive Panda, ki ga spremljajo tudi pod imeni Bronze Highland, Daggerfly in StormBamboo. Ta skupina naj bi delovala vsaj od leta 2012 in je znana po zelo ciljno usmerjenih vdorih in ne po širokih, oportunističnih napadih.

Nasprotnik na sredini kot osrednja taktika

V središču kampanje je bila uporaba tehnik nasprotnika v sredini (AitM). Napadalci so manipulirali z odzivi DNS, tako da so bile žrtve tiho preusmerjene na infrastrukturo pod njihovim nadzorom. Nalagalniki zlonamerne programske opreme so bili nameščeni na natančno določenih lokacijah datotek, medtem ko so bile šifrirane komponente gostovane na strežnikih, ki jih je nadzoroval napadalec, in so bile dostavljene le kot odgovor na določene poizvedbe DNS, povezane z legitimnimi spletnimi mesti.

Vzorec zlorabe zastrupljanja DNS-a

Ta kampanja ni osamljen primer. Evasive Panda je večkrat dokazala strokovno znanje o zastrupljanju DNS. Prejšnje raziskave so aprila 2023 izpostavile podobne taktike, ko je skupina verjetno izkoristila bodisi ogrožanje dobavne verige bodisi napad AitM za distribucijo okuženih različic zaupanja vredne programske opreme, kot je Tencent QQ, proti mednarodni nevladni organizaciji na celinski Kitajski.

Avgusta 2024 so nadaljnja poročila razkrila, da je skupina ogrozila neimenovanega ponudnika internetnih storitev (ISP) in zlorabila zastrupljene odgovore DNS za distribucijo posodobitev zlonamerne programske opreme izbranim ciljem.

Širši ekosistem akterjev AitM, ki so usklajeni s Kitajsko

Evasive Panda je del širše mreže kitajskih groženj, ki se za dostavo in gibanje zlonamerne programske opreme znotraj omrežij zanašajo na zastrupljanje na osnovi AitM. Analitiki so odkrili vsaj deset aktivnih skupin, ki uporabljajo podobne pristope, kar poudarja, da je manipulacija DNS postala priljubljena tehnika znotraj tega ekosistema.

Posodobitve programske opreme, opremljene z orožjem, kot vabe

V dokumentiranih vdorih so žrtve zvabili z lažnimi posodobitvami, ki so se maskirale kot legitimna programska oprema tretjih oseb. Ena od znanih vab se je izdajala za posodobitve za SohuVA, aplikacijo za pretakanje videoposnetkov kitajskega tehnološkega podjetja Sohu. Posodobitev je očitno izvirala iz legitimne domene p2p.hd.sohu.com[.]cn, kar močno nakazuje, da je bila zastrupitev DNS uporabljena za preusmeritev prometa na zlonamerni strežnik, medtem ko je aplikacija poskušala posodobiti binarne datoteke v svojem standardnem imeniku v appdata\roaming\shapp\7.0.18.0\package.

Raziskovalci so opazili tudi vzporedne kampanje, ki so zlorabljale lažne programe za posodobitve za Baidujev iQIYI Video, IObit Smart Defrag in Tencent QQ.

Večstopenjska dostava koristnega tovora prek zaupanja vrednih domen

Uspešna izvedba lažne posodobitve je privedla do namestitve začetnega nalagalnika, ki je zagnal shellcode. Ta shellcode je pridobila šifriran koristni tovor druge stopnje, prikrit kot sliko PNG, spet prek zastrupitve DNS, tokrat z zlorabo legitimne domene dictionary.com.

Napadalci so manipulirali z ločljivostjo DNS, tako da se je dictionary.com razločeval na IP-naslove, ki jih je nadzoroval napadalec, selektivno določene glede na geografsko lokacijo žrtve in ponudnika internetnih storitev. Zahteva HTTP, uporabljena za pridobitev tega koristnega tovora, je vključevala različico sistema Windows žrtve, kar je napadalcem verjetno omogočilo, da prilagodijo nadaljnja dejanja določenim različicam operacijskega sistema. To selektivno ciljanje odraža prejšnjo uporabo napadov watering hole s strani skupine, vključno z distribucijo zlonamerne programske opreme za macOS, znane kot MACMA.

Kako je bilo mogoče doseči zastrupitev DNS-a

Čeprav natančna metoda, uporabljena za zastrupitev odgovorov DNS, ostaja nepotrjena, preiskovalci sumijo na dve glavni možnosti:

  • Selektivno ogrožanje ponudnikov internetnih storitev žrtev, ki lahko vključuje omrežne vsadke na robnih napravah za manipulacijo prometa DNS.
  • Neposredno vdiranje v usmerjevalnike ali požarne zidove znotraj žrtev za lokalno spreminjanje odgovorov DNS.

Sofisticirana veriga nalagalnikov in šifriranje po meri

Postopek dostave zlonamerne programske opreme v drugi fazi je namerno zapleten. Začetna lupinska koda dešifrira in izvede koristni nanos, specifičen za žrtev, kar naj bi zmanjšalo odkrivanje z ustvarjanjem edinstvene šifrirane datoteke za vsako tarčo.

Sekundarni nalagalnik, prikrit kot libpython2.4.dll, se zanaša na stransko nalaganje preimenovane, zastarele datoteke python.exe. Ko se izvede, pridobi in dešifrira koristni tovor naslednje stopnje z branjem iz C:\ProgramData\Microsoft\eHome\perf.dat. Ta datoteka vsebuje zlonamerno programsko opremo, ki je bila najprej šifrirana z XOR, nato dešifrirana in na koncu ponovno šifrirana z uporabo prilagojene hibridne različice Microsoftovega API-ja za zaščito podatkov (DPAPI) in algoritma RC5. Ta zasnova zagotavlja, da je koristni tovor mogoče dešifrirati le v prvotnem sistemu žrtve, kar znatno otežuje prestrezanje in analizo brez povezave.

MgBot: Prikrit in zmogljiv vsadek

Po dešifriranju se koristni tovor vbrizga v legitimni proces svchost.exe in se razkrije kot različica zadnjih vrat MgBot. Ta modularni vsadek podpira širok nabor vohunskih funkcij, vključno z:

  • Zbiranje in izvlečenje datotek
  • Beleženje pritiskov tipk in zbiranje podatkov iz odložišča
  • Zvočni posnetek
  • Kraja poverilnic, shranjenih v brskalniku

Te zmogljivosti napadalcem omogočajo dolgoročen, prikrit dostop do ogroženih sistemov.

Razvijajoča se in vztrajna grožnja

Ta kampanja poudarja nenehen razvoj in tehnično dovršenost skupine Evasive Panda. Z združevanjem zastrupljanja DNS, lažnega predstavljanja zaupanja vredne blagovne znamke, večplastnih nalagalnikov in sistemsko vezanega šifriranja skupina dokazuje jasno sposobnost izogibanja obrambi, hkrati pa ohranja stalen dostop do visokovrednih ciljev. Operacija krepi potrebo po močnejši varnosti DNS, preverjanju dobavne verige in spremljanju mehanizmov posodabljanja v občutljivih okoljih.

V trendu

Pomembno opozorilo o prevari z e-pošto za vaš...

Lažno predstavljanje, Neželena pošta
Nepričakovana e-poštna sporočila, ki zahtevajo nujno pozornost, so priljubljeno orožje kibernetskih kriminalcev. Ni mogoče dovolj poudariti, kako pomembno je biti pozoren, ko se sporočila pojavijo nenadoma, zlasti tista, ki opozarjajo na težave z računi ali na novo objavljene dokumente. Ena takšnih groženj, ki kroži po spletu, je e-poštna prevara »Računi se izdajajo«, zavajajoča kampanja,...

Najbolj gledan

Nalaganje...