MgBot బ్యాక్‌డోర్

MgBot బ్యాక్‌డోర్‌ను అందించడానికి డొమైన్ నేమ్ సిస్టమ్ (DNS) మౌలిక సదుపాయాలను దుర్వినియోగం చేసిన దీర్ఘకాల సైబర్ గూఢచర్య ప్రచారానికి చైనాతో అనుసంధానించబడిన అధునాతనమైన, అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్ (APT) ఆపరేషన్ కారణమని చెప్పబడింది. ఈ ప్రచారం టర్కియే, చైనా మరియు భారతదేశంలో జాగ్రత్తగా ఎంపిక చేయబడిన బాధితులపై దృష్టి సారించింది మరియు నవంబర్ 2022 నుండి నవంబర్ 2024 వరకు చురుకుగా ఉంది.

ఆపరేషన్ వెనుక ఉన్న శత్రువు

ఈ కార్యకలాపం ఎవాసివ్ పాండాగా విస్తృతంగా పిలువబడే బెదిరింపు కారకుడితో ముడిపడి ఉంది, దీనిని బ్రాంజ్ హైలాండ్, డాగర్‌ఫ్లై మరియు స్టార్మ్‌బాంబూ పేర్లతో కూడా ట్రాక్ చేస్తారు. ఈ సమూహం కనీసం 2012 నుండి పనిచేస్తుందని అంచనా వేయబడింది మరియు విస్తృత, అవకాశవాద దాడులకు బదులుగా అత్యంత లక్ష్యంగా చొరబాట్లకు ప్రసిద్ధి చెందింది.

ప్రధాన వ్యూహంగా మధ్యలో వ్యతిరేకి

ఈ ప్రచారం యొక్క ప్రధాన లక్ష్యం ఆంగోసి-ఇన్-ది-మిడిల్ (AitM) టెక్నిక్‌లను ఉపయోగించడం. దాడి చేసేవారు DNS ప్రతిస్పందనలను తారుమారు చేశారు, తద్వారా బాధితులు నిశ్శబ్దంగా వారి నియంత్రణలో ఉన్న మౌలిక సదుపాయాలకు మళ్లించబడ్డారు. మాల్వేర్ లోడర్‌లను ఖచ్చితమైన ఫైల్ స్థానాల్లో ఉంచారు, అయితే ఎన్‌క్రిప్టెడ్ భాగాలు దాడి చేసేవారి-నియంత్రిత సర్వర్‌లలో హోస్ట్ చేయబడ్డాయి మరియు చట్టబద్ధమైన వెబ్‌సైట్‌లకు సంబంధించిన నిర్దిష్ట DNS ప్రశ్నలకు ప్రతిస్పందనగా మాత్రమే పంపిణీ చేయబడ్డాయి.

DNS విషప్రయోగ దుర్వినియోగం యొక్క ఒక నమూనా

ఈ ప్రచారం ఒక వివిక్త కేసు కాదు. ఎవాసివ్ పాండా DNS విషప్రయోగంలో తన నైపుణ్యాన్ని పదేపదే ప్రదర్శించింది. మునుపటి పరిశోధన ఏప్రిల్ 2023లో ఇలాంటి వ్యూహాలను హైలైట్ చేసింది, ఆ సమయంలో ఆ సమూహం చైనాలోని ఒక అంతర్జాతీయ NGOకి వ్యతిరేకంగా టెన్సెంట్ QQ వంటి విశ్వసనీయ సాఫ్ట్‌వేర్ యొక్క ట్రోజనైజ్డ్ వెర్షన్‌లను పంపిణీ చేయడానికి సరఫరా గొలుసు రాజీ లేదా AitM దాడిని ఉపయోగించుకునే అవకాశం ఉంది.

ఆగస్టు 2024లో, ఆ బృందం పేరులేని ఇంటర్నెట్ సర్వీస్ ప్రొవైడర్ (ISP)తో రాజీపడి, ఎంచుకున్న లక్ష్యాలకు హానికరమైన సాఫ్ట్‌వేర్ నవీకరణలను పంపిణీ చేయడానికి విషపూరిత DNS ప్రతిస్పందనలను దుర్వినియోగం చేసిందని తదుపరి నివేదికలు వెల్లడించాయి.

చైనా-సమలేఖన AitM నటుల విస్తృత పర్యావరణ వ్యవస్థ

ఎవాసివ్ పాండా అనేది చైనాతో అనుసంధానించబడిన బెదిరింపు సమూహాల విస్తృత భూభాగంలో భాగం, ఇవి మాల్వేర్ డెలివరీ మరియు నెట్‌వర్క్‌లలో కదలిక కోసం AitM-ఆధారిత విషప్రయోగంపై ఆధారపడతాయి. విశ్లేషకులు ఇలాంటి విధానాలను ఉపయోగించే కనీసం పది క్రియాశీల సమూహాలను గుర్తించారు, ఈ పర్యావరణ వ్యవస్థలో DNS మానిప్యులేషన్ ఒక అనుకూలమైన సాంకేతికతగా మారిందని నొక్కి చెబుతున్నారు.

ఆయుధాలతో కూడిన సాఫ్ట్‌వేర్ నవీకరణలు ఎరలుగా

డాక్యుమెంట్ చేయబడిన చొరబాట్లలో, బాధితులు చట్టబద్ధమైన మూడవ పక్ష సాఫ్ట్‌వేర్‌గా నకిలీ నవీకరణలతో ఆకర్షితులయ్యారు. ఒక ప్రముఖ ఆకర్షణ చైనీస్ టెక్నాలజీ కంపెనీ సోహు నుండి వీడియో స్ట్రీమింగ్ అప్లికేషన్ అయిన సోహువా కోసం నవీకరణలను అనుకరించింది. ఈ నవీకరణ చట్టబద్ధమైన డొమైన్ p2p.hd.sohu.com[.]cn నుండి ఉద్భవించినట్లు కనిపించింది, అప్లికేషన్ దాని ప్రామాణిక డైరెక్టరీలో appdata\roaming\shapp\7.0.18.0\package కింద బైనరీలను నవీకరించడానికి ప్రయత్నించినప్పుడు ట్రాఫిక్‌ను హానికరమైన సర్వర్‌కు దారి మళ్లించడానికి DNS పాయిజనింగ్ ఉపయోగించబడిందని గట్టిగా సూచిస్తుంది.

బైడు యొక్క iQIYI వీడియో, IObit స్మార్ట్ డెఫ్రాగ్ మరియు టెన్సెంట్ QQ కోసం నకిలీ అప్‌డేటర్‌లను దుర్వినియోగం చేసే సమాంతర ప్రచారాలను కూడా పరిశోధకులు గమనించారు.

విశ్వసనీయ డొమైన్‌ల ద్వారా బహుళ-దశ పేలోడ్ డెలివరీ

నకిలీ నవీకరణను విజయవంతంగా అమలు చేయడం వలన షెల్‌కోడ్‌ను ప్రారంభించే ప్రారంభ లోడర్‌ను అమలు చేయడానికి దారితీసింది. ఈ షెల్‌కోడ్ PNG ఇమేజ్‌గా మారువేషంలో ఉన్న ఎన్‌క్రిప్టెడ్ రెండవ-దశ పేలోడ్‌ను తిరిగి పొందింది, మళ్ళీ DNS పాయిజనింగ్ ద్వారా, ఈసారి చట్టబద్ధమైన డొమైన్ dictionary.comను దుర్వినియోగం చేసింది.

దాడి చేసేవారు DNS రిజల్యూషన్‌ను మార్చారు, తద్వారా dictionary.com దాడి చేసేవారి నియంత్రిత IP చిరునామాలకు పరిష్కరించబడుతుంది, బాధితుడి భౌగోళిక స్థానం మరియు ISP ద్వారా ఎంపిక చేయబడుతుంది. ఈ పేలోడ్‌ను పొందడానికి ఉపయోగించిన HTTP అభ్యర్థనలో బాధితుడి Windows వెర్షన్ ఉంది, దాడి చేసేవారు నిర్దిష్ట ఆపరేటింగ్ సిస్టమ్ బిల్డ్‌లకు ఫాలో-ఆన్ చర్యలను రూపొందించడానికి వీలు కల్పిస్తుంది. ఈ సెలెక్టివ్ టార్గెటింగ్ MACMA అని పిలువబడే macOS మాల్వేర్ పంపిణీతో సహా వాటర్ హోల్ దాడుల యొక్క సమూహం యొక్క మునుపటి ఉపయోగాన్ని ప్రతిధ్వనిస్తుంది.

DNS విషప్రయోగం ఎలా సాధించబడి ఉండవచ్చు

DNS ప్రతిస్పందనలను విషపూరితం చేయడానికి ఉపయోగించే ఖచ్చితమైన పద్ధతి ఇంకా నిర్ధారించబడనప్పటికీ, పరిశోధకులు రెండు ప్రాథమిక అవకాశాలను అనుమానిస్తున్నారు:

• బాధిత ISPల ఎంపిక చేసిన రాజీ, DNS ట్రాఫిక్‌ను మార్చటానికి అంచు పరికరాల్లో నెట్‌వర్క్ ఇంప్లాంట్‌లను కలిగి ఉండే అవకాశం ఉంది.
• స్థానికంగా DNS ప్రతిస్పందనలను మార్చడానికి బాధితుల వాతావరణాలలో రౌటర్లు లేదా ఫైర్‌వాల్‌ల ప్రత్యక్ష రాజీ.

అధునాతన లోడర్ చైన్ మరియు కస్టమ్ ఎన్‌క్రిప్షన్

రెండవ దశ మాల్వేర్ డెలివరీ ప్రక్రియ ఉద్దేశపూర్వకంగా సంక్లిష్టంగా ఉంటుంది. ప్రారంభ షెల్‌కోడ్ బాధితుడు-నిర్దిష్ట పేలోడ్‌ను డీక్రిప్ట్ చేసి అమలు చేస్తుంది, ఈ విధానం ప్రతి లక్ష్యానికి ప్రత్యేకమైన ఎన్‌క్రిప్టెడ్ ఫైల్‌ను రూపొందించడం ద్వారా గుర్తింపును తగ్గిస్తుందని నమ్ముతారు.

libpython2.4.dll గా మారువేషంలో ఉన్న సెకండరీ లోడర్, పేరు మార్చబడిన, పాత python.exe ను సైడ్‌లోడ్ చేయడంపై ఆధారపడుతుంది. అమలు చేసిన తర్వాత, ఇది C:\ProgramData\Microsoft\eHome\perf.dat నుండి చదవడం ద్వారా తదుపరి దశ పేలోడ్‌ను తిరిగి పొందుతుంది మరియు డీక్రిప్ట్ చేస్తుంది. ఈ ఫైల్‌లో మొదట XOR-ఎన్‌క్రిప్ట్ చేయబడిన మాల్వేర్ ఉంది, తరువాత డీక్రిప్ట్ చేయబడింది మరియు చివరకు Microsoft యొక్క డేటా ప్రొటెక్షన్ API (DPAPI) మరియు RC5 అల్గోరిథం యొక్క కస్టమ్ హైబ్రిడ్‌ని ఉపయోగించి తిరిగి ఎన్‌క్రిప్ట్ చేయబడింది. ఈ డిజైన్ పేలోడ్‌ను అసలు బాధిత వ్యవస్థలో మాత్రమే డీక్రిప్ట్ చేయగలదని నిర్ధారిస్తుంది, ఇది అంతరాయం మరియు ఆఫ్‌లైన్ విశ్లేషణను గణనీయంగా క్లిష్టతరం చేస్తుంది.

MgBot: ఒక రహస్యమైన మరియు సామర్థ్యం గల ఇంప్లాంట్

డీక్రిప్షన్ తర్వాత, పేలోడ్ చట్టబద్ధమైన svchost.exe ప్రాసెస్‌లోకి ఇంజెక్ట్ చేయబడుతుంది, ఇది MgBot బ్యాక్‌డోర్ యొక్క వేరియంట్‌గా వెల్లడిస్తుంది. ఈ మాడ్యులర్ ఇంప్లాంట్ విస్తృత శ్రేణి గూఢచర్య విధులకు మద్దతు ఇస్తుంది, వాటిలో:

• ఫైల్ సేకరణ మరియు తొలగింపు
• కీస్ట్రోక్ లాగింగ్ మరియు క్లిప్‌బోర్డ్ హార్వెస్టింగ్
• ఆడియో రికార్డింగ్
• బ్రౌజర్‌లో నిల్వ చేసిన ఆధారాల దొంగతనం

ఈ సామర్థ్యాలు దాడి చేసేవారు రాజీపడిన వ్యవస్థలకు దీర్ఘకాలిక, రహస్య ప్రాప్యతను నిర్వహించడానికి వీలు కల్పిస్తాయి.

అభివృద్ధి చెందుతున్న మరియు నిరంతర ముప్పు

ఈ ప్రచారం ఎవాసివ్ పాండా యొక్క నిరంతర పరిణామం మరియు సాంకేతిక అధునాతనతను హైలైట్ చేస్తుంది. DNS పాయిజనింగ్, విశ్వసనీయ-బ్రాండ్ వేషధారణ, బహుళ-లేయర్డ్ లోడర్లు మరియు సిస్టమ్-బౌండ్ ఎన్‌క్రిప్షన్‌ను కలపడం ద్వారా, అధిక-విలువ లక్ష్యాలకు నిరంతర ప్రాప్యతను కొనసాగిస్తూ రక్షణలను తప్పించుకునే స్పష్టమైన సామర్థ్యాన్ని సమూహం ప్రదర్శిస్తుంది. సున్నితమైన వాతావరణాలలో బలమైన DNS భద్రత, సరఫరా గొలుసు ధ్రువీకరణ మరియు నవీకరణ విధానాల పర్యవేక్షణ అవసరాన్ని ఈ ఆపరేషన్ బలోపేతం చేస్తుంది.