Попуст за више лиценци
Тхреат Датабасе Бацкдоорс MgBot Backdoor

MgBot Backdoor

До Mezo. у Бацкдоорс, Напредна трајна претња (АПТ)
Преведи на:

Софистицирана, са Кином повезана операција напредних перзистентних претњи (APT) приписана је дуготрајној кампањи сајбер шпијунаже која је злоупотребљавала инфраструктуру система имена домена (DNS) за испоруку MgBot задњих врата. Кампања се фокусирала на пажљиво одабране жртве у Турској, Кини и Индији и остала је активна од новембра 2022. до новембра 2024. године.

Противник иза операције

Активност је повезана са претњом познатом као Evasive Panda, која се прати и под именима Bronze Highland, Daggerfly и StormBamboo. Процењено је да је ова група оперативна најмање од 2012. године и позната је по високо циљаним упадима, а не по широким, опортунистичким нападима.

Противник у средини као основна тактика

У сржи кампање била је употреба техника противника у средини (AitM). Нападачи су манипулисали DNS одговорима тако да су жртве неприметно преусмераване на инфраструктуру под њиховом контролом. Програми за учитавање злонамерног софтвера су смештени на прецизне локације датотека, док су шифроване компоненте биле хостоване на серверима које контролишу нападачи и испоручиване су само као одговор на одређене DNS упите повезане са легитимним веб локацијама.

Образац злоупотребе тровања DNS-а

Ова кампања није изолован случај. Evasive Panda је више пута показала стручност у тровању DNS-а. Ранија истраживања су истакла сличне тактике у априлу 2023. године, када је група вероватно искористила или компромитовање ланца снабдевања или AitM напад како би дистрибуирала тројанизоване верзије поузданог софтвера, као што је Tencent QQ, против међународне невладине организације у континенталној Кини.

У августу 2024. године, даљи извештаји су открили да је група компромитовала неименованог интернет провајдера (ИСП), злоупотребљавајући затроване ДНС одговоре за дистрибуцију злонамерних софтверских ажурирања одабраним циљевима.

Шири екосистем актера AitM-а усклађених са Кином

„Evasive Panda“ је део ширег пејзажа претећих група повезаних са Кином које се ослањају на тровање засновано на AitM-у за испоруку и кретање злонамерног софтвера унутар мрежа. Аналитичари су идентификовали најмање десет активних група које користе сличне приступе, истичући да је манипулација DNS-ом постала омиљена техника унутар овог екосистема.

Ажурирања софтвера са оружјем као мамци

У документованим упадима, жртве су намамљене лажним ажурирањима маскираним као легитимни софтвер треће стране. Један истакнути мамац је представљао ажурирања за SohuVA, апликацију за стримовање видеа кинеске технолошке компаније Sohu. Ажурирање је изгледало као да потиче са легитимног домена p2p.hd.sohu.com[.]cn, што снажно сугерише да је тровање DNS-а коришћено за преусмеравање саобраћаја на злонамерни сервер док је апликација покушавала да ажурира бинарне датотеке у свом стандардном директоријуму под appdata\roaming\shapp\7.0.18.0\package.

Истраживачи су такође приметили паралелне кампање које злоупотребљавају лажне програме за ажурирање за Баидуов iQIYI Video, IObit Smart Defrag и Tencent QQ.

Вишестепена испорука корисног терета путем поузданих домена

Успешно извршење лажног ажурирања довело је до распоређивања почетног програма за учитавање података који је покренуо шелкод. Овај шелкод је преузео шифровани корисни терет друге фазе прерушен у PNG слику, поново путем тровања DNS-а, овог пута злоупотребљавајући легитимни домен dictionary.com.

Нападачи су манипулисали DNS резолуцијом тако да се dictionary.com решавао на IP адресе које контролише нападач, селективно одређене географском локацијом жртве и интернет провајдером. HTTP захтев који је коришћен за преузимање овог садржаја укључивао је верзију Windows-а жртве, што је вероватно омогућило нападачима да прилагоде накнадне акције одређеним верзијама оперативног система. Ово селективно циљање подсећа на претходну употребу групе у виду „watering hole“ напада, укључујући дистрибуцију macOS малвера познатог као MACMA.

Како је тровање DNS-а могло бити постигнуто

Иако прецизна метода која се користи за тровање DNS одговора остаје непотврђена, истраживачи сумњају на две главне могућности:

  • Селективно компромитовање интернет провајдера жртава, потенцијално укључујући мрежне имплантате на edge уређајима ради манипулације DNS саобраћајем.
  • Директно компромитовање рутера или заштитних зидова унутар окружења жртве ради локалне измене ДНС одговора.

Софистицирани ланац за учитавање и прилагођено шифровање

Процес испоруке злонамерног софтвера у другој фази је намерно сложен. Почетни шелкод дешифрује и извршава корисни терет специфичан за жртву, приступ за који се верује да смањује детекцију генерисањем јединствене шифроване датотеке за сваку мету.

Секундарни програм за учитавање, прерушен у libpython2.4.dll, ослања се на бочно учитавање преименоване, застареле датотеке python.exe. Након извршења, он преузима и дешифрује корисни терет следеће фазе читањем из C:\ProgramData\Microsoft\eHome\perf.dat. Ова датотека садржи злонамерни софтвер који је прво XOR шифрован, затим дешифрован и коначно поново шифрован коришћењем прилагођеног хибрида Microsoft-овог Data Protection API-ја (DPAPI) и RC5 алгоритма. Овај дизајн осигурава да се корисни терет може дешифровати само на оригиналном систему жртве, што значајно компликује пресретање и офлајн анализу.

MgBot: Неприметни и способни имплантат

Након дешифровања, корисни терет се убризгава у легитиман процес svchost.exe, откривајући се као варијанта MgBot задњих врата. Овај модуларни имплант подржава широк спектар шпијунских функција, укључујући:

  • Прикупљање и извлачење датотека
  • Забележавање откуцаја тастера и сакупљање података из међуспремника
  • Аудио снимак
  • Крађа акредитива сачуваних у прегледачу

Ове могућности омогућавају нападачима да одрже дугорочни, тајни приступ компромитованим системима.

Еволуирајућа и стална претња

Ова кампања истиче континуирану еволуцију и техничку софистицираност групе Evasive Panda. Комбиновањем тровања DNS-а, имперсонације поузданог бренда, вишеслојних учитавача и системски ограниченог шифровања, група показује јасну способност да избегне одбрану, а да притом одржи сталан приступ циљевима високе вредности. Операција појачава потребу за јачом DNS безбедношћу, валидацијом ланца снабдевања и праћењем механизама ажурирања у осетљивим окружењима.

У тренду

Search.ansiblealgorithm.com

Рогуе Вебситес, Отмичари претраживача, Потенцијално нежељени програми
У данашњем свету претњи, заштита вашег система од наметљивог и непоузданог софтвера је подједнако важна као и заштита од директног злонамерног софтвера. Потенцијално нежељени програми (ПУП) често...

Важно упозорење о превари путем е-поште на ваш...

Пецање, Спам
Неочекивани имејлови који захтевају хитну пажњу су омиљено оружје сајбер криминалаца. Не може се довољно нагласити колико је важно бити опрезан када се поруке појаве изненада, посебно оне које упозоравају на проблеме са налогом или новообјављене документе. Једна таква претња која кружи онлајн је превара имејлом „Фактуре се објављују“, обмањујућа кампања осмишљена да злоупотреби поверење и...

Најгледанији

Злонамерних програма

Пецање, Спам
29,658
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...