Rabattoffert för flera licenser
Hotdatabas Bakdörrar MgBot-bakdörr

MgBot-bakdörr

Med Mezo år Bakdörrar, Advanced Persistent Threat (APT)
Översätt till:

En sofistikerad, Kina-allierad avancerad ihållande hotoperation (APT) har tillskrivits en långvarig cyberspionagekampanj som missbrukade DNS-infrastrukturen (Domain Name System) för att leverera MgBot-bakdörren. Kampanjen fokuserade på noggrant utvalda offer i Turkiet, Kina och Indien och förblev aktiv från november 2022 till november 2024.

Motståndaren bakom operationen

Aktiviteten har kopplats till hotbilden Evasive Panda, allmänt känd som Evasive Panda, även känd under namnen Bronze Highland, Daggerfly och StormBamboo. Denna grupp har bedömts vara operativ sedan åtminstone 2012 och är känd för mycket riktade intrång snarare än breda, opportunistiska attacker.

Motståndaren i mitten som en kärntaktik

Kärnan i kampanjen var användningen av AitM-tekniker (adversary-in-the-middle). Angriparna manipulerade DNS-svar så att offren tyst omdirigerades till infrastruktur under deras kontroll. Program som laddade skadlig kod placerades på exakta filplatser, medan krypterade komponenter värdades på angriparkontrollerade servrar och endast levererades som svar på specifika DNS-frågor kopplade till legitima webbplatser.

Ett mönster av DNS-förgiftningsmissbruk

Denna kampanj är inte ett isolerat fall. Evasive Panda har upprepade gånger visat expertis inom DNS-förgiftning. Tidigare forskning lyfte fram liknande taktiker i april 2023, då gruppen sannolikt utnyttjade antingen en kompromiss i leveranskedjan eller en AitM-attack för att distribuera trojanska versioner av betrodd programvara, såsom Tencent QQ, mot en internationell icke-statlig organisation i Kina.

I augusti 2024 avslöjade ytterligare rapporter att gruppen hade komprometterat en namnlös internetleverantör (ISP) och missbrukat förgiftade DNS-svar för att distribuera skadlig programuppdatering till utvalda mål.

Ett bredare ekosystem av Kina-allierade AitM-aktörer

Evasive Panda är en del av ett bredare landskap av Kina-allierade hotgrupper som förlitar sig på AitM-baserad förgiftning för leverans och förflyttning av skadlig kod inom nätverk. Analytiker har identifierat minst tio aktiva grupper som använder liknande metoder, vilket understryker att DNS-manipulation har blivit en favoritteknik inom detta ekosystem.

Vapenförsedda programuppdateringar som lockbete

I de dokumenterade intrången lockades offren med falska uppdateringar som utgav sig för att vara legitim programvara från tredje part. En framträdande lockelse imiterade uppdateringar för SohuVA, en videostreamingapplikation från det kinesiska teknikföretaget Sohu. Uppdateringen verkade komma från den legitima domänen p2p.hd.sohu.com[.]cn, vilket starkt tyder på att DNS-förgiftning användes för att omdirigera trafik till en skadlig server medan applikationen försökte uppdatera binärfiler i sin standardkatalog under appdata\roaming\shapp\7.0.18.0\package.

Forskare observerade också parallella kampanjer som missbrukade falska uppdateringsprogram för Baidus iQIYI Video, IObit Smart Defrag och Tencent QQ.

Flerstegs nyttolastleverans via betrodda domäner

Lyckad exekvering av den falska uppdateringen ledde till att en initial laddare implementerades som startade shellcode. Denna shellcode hämtade en krypterad andrastegsnyttolast förklädd till en PNG-bild, återigen via DNS-förgiftning, den här gången missbrukande den legitima domänen dictionary.com.

Angriparna manipulerade DNS-upplösningen så att dictionary.com löstes upp till angriparkontrollerade IP-adresser, selektivt bestämda av offrets geografiska plats och internetleverantör. HTTP-begäran som användes för att hämta denna nyttolast inkluderade offrets Windows-version, vilket sannolikt gjorde det möjligt för angriparna att skräddarsy uppföljningsåtgärder till specifika operativsystemversioner. Denna selektiva inriktning påminner om gruppens tidigare användning av vattenhålsattacker, inklusive distribution av macOS-skadlig programvara som kallas MACMA.

Hur DNS-förgiftningen kan ha uppnåtts

Även om den exakta metoden som används för att förgifta DNS-svar fortfarande är obekräftad, misstänker utredarna två primära möjligheter:

  • Selektiv kompromiss av offer-internetleverantörer, potentiellt involverande nätverksimplantat på kantenheter för att manipulera DNS-trafik.
  • Direkt intrång i routrar eller brandväggar i offermiljöer för att ändra DNS-svar lokalt.

Sofistikerad lastkedja och anpassad kryptering

Den andra fasen av leveransprocessen av skadlig kod är avsiktligt komplex. Den initiala skalkoden dekrypterar och kör en offerspecifik nyttolast, en metod som tros minska upptäckten genom att generera en unik krypterad fil för varje mål.

En sekundär laddare, förklädd till libpython2.4.dll, förlitar sig på att sidladda en omdöpt, föråldrad python.exe. När den körts hämtar och dekrypterar den nästa nyttolasten genom att läsa från C:\ProgramData\Microsoft\eHome\perf.dat. Denna fil innehåller skadlig kod som först XOR-krypterades, sedan dekrypterades och slutligen krypterades om med en anpassad hybrid av Microsofts Data Protection API (DPAPI) och RC5-algoritmen. Denna design säkerställer att nyttolasten bara kan dekrypteras på det ursprungliga offrets system, vilket avsevärt komplicerar avlyssning och offline-analys.

MgBot: Ett smygande och kapabelt implantat

Efter dekryptering injiceras nyttolasten i en legitim svchost.exe-process och avslöjar sig som en variant av MgBot-bakdörren. Detta modulära implantat stöder ett brett utbud av spionagefunktioner, inklusive:

  • Filinsamling och exfiltrering
  • Tangenttryckningsloggning och urklippshantering
  • Ljudinspelning
  • Stöld av webbläsarlagrade inloggningsuppgifter

Dessa funktioner gör det möjligt för angriparna att upprätthålla långsiktig, hemlig åtkomst till komprometterade system.

Ett föränderligt och ihållande hot

Denna kampanj belyser Evasive Pandas fortsatta utveckling och tekniska sofistikering. Genom att kombinera DNS-förgiftning, varumärkesimitation, flerskiktade laddare och systembunden kryptering visar gruppen en tydlig förmåga att kringgå försvar samtidigt som de upprätthåller beständig åtkomst till värdefulla mål. Operationen förstärker behovet av starkare DNS-säkerhet, validering av leveranskedjan och övervakning av uppdateringsmekanismer i känsliga miljöer.

Trendigt

Mest sedda

Läser in...