ช่องโหว่ MgBot
ปฏิบัติการโจมตีแบบคุกคามต่อเนื่องขั้นสูง (APT) ที่ซับซ้อนและมีเครือข่ายเชื่อมโยงกับจีน ถูกระบุว่าเป็นการดำเนินการจารกรรมทางไซเบอร์ที่ดำเนินมายาวนาน โดยใช้โครงสร้างพื้นฐานของระบบชื่อโดเมน (DNS) ในการติดตั้งแบ็กดอร์ MgBot การโจมตีครั้งนี้มุ่งเป้าไปที่เหยื่อที่ได้รับการคัดเลือกอย่างระมัดระวังในตุรกี จีน และอินเดีย และยังคงดำเนินการอยู่ตั้งแต่เดือนพฤศจิกายน 2022 ถึงเดือนพฤศจิกายน 2024
สารบัญ
ศัตรูที่อยู่เบื้องหลังปฏิบัติการ
กิจกรรมดังกล่าวเชื่อมโยงกับกลุ่มผู้ก่อภัยคุกคามที่รู้จักกันในชื่อ Evasive Panda ซึ่งติดตามได้ภายใต้ชื่อ Bronze Highland, Daggerfly และ StormBamboo กลุ่มนี้ได้รับการประเมินว่าปฏิบัติการมาอย่างน้อยตั้งแต่ปี 2012 และเป็นที่รู้จักในด้านการโจมตีแบบเจาะจงเป้าหมายมากกว่าการโจมตีแบบฉวยโอกาสในวงกว้าง
กลยุทธ์โจมตีศัตรูตรงกลาง (Adversary-in-the-Middle) เป็นกลยุทธ์หลัก
หัวใจสำคัญของแคมเปญนี้คือการใช้เทคนิคโจมตีแบบแทรกกลาง (Adversary-in-the-Middle หรือ AitM) ผู้โจมตีทำการเปลี่ยนแปลงการตอบสนองของ DNS เพื่อให้เหยื่อถูกเปลี่ยนเส้นทางไปยังโครงสร้างพื้นฐานที่อยู่ภายใต้การควบคุมของพวกเขาโดยไม่ให้เหยื่อรู้ตัว ตัวโหลดมัลแวร์ถูกวางไว้ในตำแหน่งไฟล์ที่แม่นยำ ในขณะที่ส่วนประกอบที่เข้ารหัสจะถูกโฮสต์บนเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม และจะถูกส่งมาเฉพาะเมื่อมีการร้องขอ DNS เฉพาะที่เชื่อมโยงกับเว็บไซต์ที่ถูกต้องเท่านั้น
รูปแบบการใช้ประโยชน์จากการโจมตี DNS Poisoning
แคมเปญนี้ไม่ใช่กรณีโดเดี่ยว กลุ่ม Evasive Panda ได้แสดงให้เห็นถึงความเชี่ยวชาญในการโจมตี DNS poisoning มาแล้วหลายครั้ง การวิจัยก่อนหน้านี้ได้เน้นย้ำถึงกลยุทธ์ที่คล้ายกันในเดือนเมษายน 2023 เมื่อกลุ่มดังกล่าวอาจใช้ประโยชน์จากการบุกรุกห่วงโซ่อุปทานหรือการโจมตี AitM เพื่อเผยแพร่ซอฟต์แวร์ที่น่าเชื่อถือ เช่น Tencent QQ เวอร์ชันที่ติดมัลแวร์ไปยังองค์กรพัฒนาเอกชนระหว่างประเทศในจีนแผ่นดินใหญ่
ในเดือนสิงหาคม 2024 รายงานเพิ่มเติมเปิดเผยว่ากลุ่มดังกล่าวได้เจาะระบบผู้ให้บริการอินเทอร์เน็ต (ISP) รายหนึ่งที่ไม่ระบุชื่อ โดยใช้การตอบสนอง DNS ที่ถูกดัดแปลงเพื่อแจกจ่ายการอัปเดตซอฟต์แวร์ที่เป็นอันตรายไปยังเป้าหมายที่เลือกไว้
ระบบนิเวศที่กว้างขึ้นของกลุ่มผู้มีบทบาทใน AitM ที่มีแนวร่วมกับจีน
Evasive Panda เป็นส่วนหนึ่งของกลุ่มภัยคุกคามที่เชื่อมโยงกับจีน ซึ่งอาศัยการโจมตีแบบ AitM (Australian Internet of Things) ในการส่งและเคลื่อนย้ายมัลแวร์ภายในเครือข่าย นักวิเคราะห์ระบุว่ามีกลุ่มที่ใช้งานอยู่ไม่ต่ำกว่าสิบกลุ่มที่ใช้วิธีการที่คล้ายคลึงกัน ซึ่งเน้นย้ำว่าการเปลี่ยนแปลง DNS ได้กลายเป็นเทคนิคที่ได้รับความนิยมในระบบนิเวศนี้
การอัปเดตซอฟต์แวร์ที่ถูกดัดแปลงให้เป็นอาวุธเพื่อล่อลวง
ในการโจมตีที่ถูกบันทึกไว้ เหยื่อถูกล่อลวงด้วยการอัปเดตปลอมที่ปลอมตัวเป็นซอฟต์แวร์ของบุคคลที่สามที่ถูกต้องตามกฎหมาย หนึ่งในกลลวงที่โดดเด่นคือการปลอมตัวเป็นการอัปเดตสำหรับ SohuVA ซึ่งเป็นแอปพลิเคชันสตรีมมิ่งวิดีโอจากบริษัทเทคโนโลยีของจีน Sohu การอัปเดตดังกล่าวดูเหมือนจะมาจากโดเมนที่ถูกต้อง p2p.hd.sohu.com[.]cn ซึ่งบ่งชี้อย่างชัดเจนว่ามีการใช้การโจมตีแบบ DNS poisoning เพื่อเปลี่ยนเส้นทางการรับส่งข้อมูลไปยังเซิร์ฟเวอร์ที่เป็นอันตรายในขณะที่แอปพลิเคชันพยายามอัปเดตไบนารีในไดเร็กทอรีมาตรฐานภายใต้ appdata\roaming\shapp\7.0.18.0\package
นักวิจัยยังสังเกตเห็นแคมเปญคู่ขนานที่ใช้โปรแกรมอัปเดตปลอมสำหรับแอปพลิเคชัน iQIYI Video ของ Baidu, IObit Smart Defrag และ Tencent QQ อีกด้วย
การส่งข้อมูลหลายขั้นตอนผ่านโดเมนที่เชื่อถือได้
การดำเนินการอัปเดตปลอมที่สำเร็จนำไปสู่การใช้งานตัวโหลดเริ่มต้นที่เรียกใช้เชลล์โค้ด เชลล์โค้ดนี้ดึงข้อมูลเพย์โหลดขั้นที่สองที่เข้ารหัสซึ่งปลอมตัวเป็นภาพ PNG โดยใช้การโจมตี DNS poisoning อีกครั้ง คราวนี้โดยใช้ประโยชน์จากโดเมน dictionary.com ที่ถูกต้องตามกฎหมาย
ผู้โจมตีได้ทำการดัดแปลงการแก้ไข DNS เพื่อให้ dictionary.com แปลงเป็นที่อยู่ IP ที่ผู้โจมตีควบคุม ซึ่งเลือกโดยพิจารณาจากตำแหน่งทางภูมิศาสตร์และผู้ให้บริการอินเทอร์เน็ตของเหยื่อ คำขอ HTTP ที่ใช้ในการดึงข้อมูลนี้รวมถึงเวอร์ชัน Windows ของเหยื่อ ซึ่งน่าจะช่วยให้ผู้โจมตีสามารถปรับแต่งการกระทำต่อๆ ไปให้เหมาะสมกับเวอร์ชันระบบปฏิบัติการเฉพาะได้ การกำหนดเป้าหมายแบบเลือกสรรนี้สะท้อนให้เห็นถึงการใช้การโจมตีแบบ Watering Hole ของกลุ่มนี้ในอดีต ซึ่งรวมถึงการเผยแพร่มัลแวร์ macOS ที่รู้จักกันในชื่อ MACMA
วิธีการโจมตี DNS Poisoning ที่อาจเกิดขึ้นได้
แม้ว่าวิธีการที่ใช้ในการโจมตีการตอบสนองของ DNS ยังไม่ได้รับการยืนยันอย่างแน่ชัด แต่นักวิจัยคาดการณ์ว่ามีสาเหตุหลักสองประการ:
- การโจมตีแบบเลือกเป้าหมายไปยังผู้ให้บริการอินเทอร์เน็ต (ISP) ซึ่งอาจเกี่ยวข้องกับการฝังชิปในอุปกรณ์ปลายทางเพื่อควบคุมการรับส่งข้อมูล DNS
- การเจาะระบบเราเตอร์หรือไฟร์วอลล์โดยตรงภายในสภาพแวดล้อมของผู้ตกเป็นเหยื่อ เพื่อเปลี่ยนแปลงการตอบสนองของ DNS ในพื้นที่นั้น
ระบบโหลดเดอร์ที่ซับซ้อนและการเข้ารหัสแบบกำหนดเอง
กระบวนการส่งมัลแวร์ขั้นที่สองนั้นซับซ้อนอย่างจงใจ โค้ดเริ่มต้นจะถอดรหัสและเรียกใช้เพย์โหลดเฉพาะสำหรับเหยื่อ ซึ่งเชื่อกันว่าจะช่วยลดการตรวจจับได้โดยการสร้างไฟล์เข้ารหัสที่ไม่ซ้ำกันสำหรับแต่ละเป้าหมาย
โปรแกรมโหลดรองที่ปลอมตัวเป็น libpython2.4.dll อาศัยการโหลดข้ามระบบ (sideloading) ของไฟล์ python.exe ที่เปลี่ยนชื่อและล้าสมัย เมื่อถูกเรียกใช้งาน มันจะดึงและถอดรหัสเพย์โหลดในขั้นตอนถัดไปโดยการอ่านจากไฟล์ C:\ProgramData\Microsoft\eHome\perf.dat ไฟล์นี้มีมัลแวร์ที่ถูกเข้ารหัสแบบ XOR ก่อน จากนั้นถอดรหัส และสุดท้ายเข้ารหัสใหม่โดยใช้การผสมผสานระหว่าง Data Protection API (DPAPI) ของ Microsoft และอัลกอริธึม RC5 การออกแบบนี้ทำให้มั่นใจได้ว่าเพย์โหลดจะสามารถถอดรหัสได้เฉพาะบนระบบของเหยื่อดั้งเดิมเท่านั้น ซึ่งทำให้การดักจับและการวิเคราะห์แบบออฟไลน์ทำได้ยากขึ้นอย่างมาก
MgBot: อุปกรณ์ฝังในร่างกายที่ล้ำสมัยและทรงประสิทธิภาพ
หลังจากถอดรหัสแล้ว เพย์โหลดจะถูกฉีดเข้าไปในกระบวนการ svchost.exe ที่ถูกต้องตามกฎหมาย ซึ่งจะเผยให้เห็นว่าเป็นแบ็กดอร์ MgBot เวอร์ชันหนึ่ง อิมแพลนต์แบบโมดูลาร์นี้รองรับฟังก์ชันการสอดแนมที่หลากหลาย รวมถึง:
- การรวบรวมและการส่งไฟล์ออกไป
- การบันทึกการกดแป้นพิมพ์และการคัดลอกข้อมูลจากคลิปบอร์ด
- การบันทึกเสียง
- การขโมยข้อมูลประจำตัวที่จัดเก็บไว้ในเบราว์เซอร์
ความสามารถเหล่านี้ทำให้ผู้โจมตีสามารถเข้าถึงระบบที่ถูกบุกรุกได้อย่างลับๆ ในระยะยาว
ภัยคุกคามที่เปลี่ยนแปลงและต่อเนื่อง
แคมเปญนี้เน้นย้ำถึงวิวัฒนาการอย่างต่อเนื่องและความซับซ้อนทางเทคนิคของกลุ่ม Evasive Panda โดยการผสมผสานการโจมตี DNS poisoning การปลอมแปลงแบรนด์ที่น่าเชื่อถือ ตัวโหลดหลายชั้น และการเข้ารหัสที่ผูกติดกับระบบ กลุ่มนี้แสดงให้เห็นถึงความสามารถที่ชัดเจนในการหลบเลี่ยงการป้องกันในขณะที่ยังคงเข้าถึงเป้าหมายที่มีมูลค่าสูงได้อย่างต่อเนื่อง ปฏิบัติการนี้ตอกย้ำความจำเป็นในการรักษาความปลอดภัย DNS ที่เข้มงวดมากขึ้น การตรวจสอบความถูกต้องของห่วงโซ่อุปทาน และการตรวจสอบกลไกการอัปเดตในสภาพแวดล้อมที่ละเอียดอ่อน
