MgBot Backdoor

Isang sopistikado at kaalyado ng Tsina na advanced persistent threat (APT) na operasyon ang iniuugnay sa isang matagal nang kampanya sa cyber espionage na umabuso sa imprastraktura ng Domain Name System (DNS) upang maihatid ang MgBot backdoor. Ang kampanya ay nakatuon sa maingat na piniling mga biktima sa Türkiye, Tsina, at India, at nanatiling aktibo mula Nobyembre 2022 hanggang Nobyembre 2024.

Ang Kalaban sa Likod ng Operasyon

Ang aktibidad ay iniuugnay sa banta na kilala bilang Evasive Panda, na sinusubaybayan din sa ilalim ng mga pangalang Bronze Highland, Daggerfly, at StormBamboo. Ang grupong ito ay tinasa na gumagana na simula pa noong 2012 at kilala sa mga lubos na naka-target na panghihimasok sa halip na malawak at oportunistang pag-atake.

Kalaban-sa-Gitna bilang Pangunahing Taktika

Ang puso ng kampanya ay ang paggamit ng mga pamamaraan ng adversary-in-the-middle (AitM). Minamanipula ng mga umaatake ang mga tugon ng DNS upang ang mga biktima ay tahimik na ma-redirect sa imprastraktura na nasa ilalim ng kanilang kontrol. Ang mga malware loader ay inilagay sa mga tiyak na lokasyon ng file, habang ang mga naka-encrypt na bahagi ay naka-host sa mga server na kontrolado ng umaatake at inihahatid lamang bilang tugon sa mga partikular na query sa DNS na nakatali sa mga lehitimong website.

Isang Huwaran ng Pag-abuso sa Pagkalason sa DNS

Ang kampanyang ito ay hindi isang nakahiwalay na kaso. Paulit-ulit na ipinakita ng Evasive Panda ang kadalubhasaan sa DNS poisoning. Itinampok ng mga naunang pananaliksik ang mga katulad na taktika noong Abril 2023, nang malamang na ginamit ng grupo ang alinman sa isang kompromiso sa supply chain o isang pag-atake ng AitM upang mamahagi ng mga trojanized na bersyon ng pinagkakatiwalaang software, tulad ng Tencent QQ, laban sa isang internasyonal na NGO sa Mainland China.

Noong Agosto 2024, isiniwalat ng karagdagang ulat na nakompromiso ng grupo ang isang hindi pinangalanang internet service provider (ISP), kung saan inabuso nito ang mga nilason na tugon ng DNS upang mamahagi ng mga malisyosong update ng software sa mga piling target.

Isang Mas Malawak na Ekosistema ng mga Aktor na Nakahanay sa Tsina sa AitM

Ang Evasive Panda ay bahagi ng mas malawak na hanay ng mga grupong banta na kaalyado ng Tsina na umaasa sa pagkalason na nakabase sa AitM para sa paghahatid at paggalaw ng malware sa loob ng mga network. Natukoy ng mga analyst ang hindi bababa sa sampung aktibong grupo na gumagamit ng mga katulad na pamamaraan, na binibigyang-diin na ang manipulasyon ng DNS ay naging isang paboritong pamamaraan sa loob ng ecosystem na ito.

Mga Update sa Software na Ginamit sa Sandata bilang mga Pang-akit

Sa mga dokumentadong panghihimasok, ang mga biktima ay naakit gamit ang mga pekeng update na nagkukunwaring lehitimong third-party software. Isang kilalang pang-akit ang nagpanggap na mga update para sa SohuVA, isang video streaming application mula sa kumpanya ng teknolohiyang Tsino na Sohu. Ang update ay tila nagmula sa lehitimong domain na p2p.hd.sohu.com[.]cn, na mariing nagmumungkahi na ang DNS poisoning ay ginamit upang i-redirect ang trapiko sa isang malisyosong server habang tinangka ng application na i-update ang mga binary sa karaniwang direktoryo nito sa ilalim ng appdata\roaming\shapp\7.0.18.0\package.

Naobserbahan din ng mga mananaliksik ang pag-abuso ng mga parallel campaign sa mga pekeng updater para sa iQIYI Video, IObit Smart Defrag, at Tencent QQ ng Baidu.

Paghahatid ng Payload sa Maraming Yugto sa pamamagitan ng mga Pinagkakatiwalaang Domain

Ang matagumpay na pagpapatupad ng pekeng update ay humantong sa pag-deploy ng isang paunang loader na naglunsad ng shellcode. Nakuha ng shellcode na ito ang isang naka-encrypt na second-stage payload na nagbalatkayo bilang isang PNG na imahe, muli sa pamamagitan ng DNS poisoning, sa pagkakataong ito ay inaabuso ang lehitimong domain na dictionary.com.

Minamanipula ng mga umaatake ang resolusyon ng DNS upang ang dictionary.com ay mag-resolve sa mga IP address na kontrolado ng umaatake, na piling tinutukoy ng lokasyon at ISP ng biktima. Kasama sa HTTP request na ginamit upang makuha ang payload na ito ang bersyon ng Windows ng biktima, na malamang na nagbibigay-daan sa mga umaatake na iangkop ang mga kasunod na aksyon sa mga partikular na build ng operating system. Ang piling pag-target na ito ay sumasalamin sa naunang paggamit ng grupo ng mga watering hole attack, kabilang ang pamamahagi ng macOS malware na kilala bilang MACMA.

Paano Maaaring Nakamit ang Pagkalason sa DNS

Bagama't hindi pa nakumpirma ang eksaktong paraan na ginamit upang malason ang mga tugon ng DNS, pinaghihinalaan ng mga imbestigador ang dalawang pangunahing posibilidad:

• Mapiling kompromiso ng mga biktimang ISP, na posibleng kinasasangkutan ng mga network implant sa mga edge device upang manipulahin ang trapiko ng DNS.
• Direktang pagkompromiso ng mga router o firewall sa loob ng mga kapaligiran ng biktima upang baguhin ang mga tugon ng DNS nang lokal.

Sopistikadong Loader Chain at Pasadyang Encryption

Ang proseso ng paghahatid ng malware sa ikalawang yugto ay sadyang kumplikado. Ang unang shellcode ay nagde-decrypt at nagsasagawa ng isang payload na partikular sa biktima, isang pamamaraan na pinaniniwalaang nakakabawas sa pagtuklas sa pamamagitan ng pagbuo ng isang natatanging naka-encrypt na file para sa bawat target.

Ang isang secondary loader, na nagbabalatkayo bilang libpython2.4.dll, ay umaasa sa pag-sideload ng isang pinalitan ng pangalan at lumang python.exe. Kapag naisagawa na, kinukuha at idine-decrypt nito ang susunod na yugto ng payload sa pamamagitan ng pagbabasa mula sa C:\ProgramData\Microsoft\eHome\perf.dat. Ang file na ito ay naglalaman ng malware na unang na-XOR-encrypt, pagkatapos ay na-decrypt, at sa huli ay muling na-encrypt gamit ang isang custom na hybrid ng Data Protection API (DPAPI) ng Microsoft at ng RC5 algorithm. Tinitiyak ng disenyong ito na ang payload ay maaari lamang i-decrypt sa orihinal na sistema ng biktima, na lubos na nagpapahirap sa interception at offline na pagsusuri.

MgBot: Isang Lihim at May Kakayahang Implant

Pagkatapos ng decryption, ang payload ay ini-inject sa isang lehitimong proseso ng svchost.exe, na nagpapakita ng sarili bilang isang variant ng MgBot backdoor. Sinusuportahan ng modular implant na ito ang malawak na hanay ng mga function ng espionage, kabilang ang:

• Pangongolekta at pag-exfiltrate ng file
• Pag-log ng keystroke at pag-ani ng clipboard
• Pagre-record ng audio
• Pagnanakaw ng mga kredensyal na nakaimbak sa browser

Ang mga kakayahang ito ay nagbibigay-daan sa mga umaatake na mapanatili ang pangmatagalang, palihim na pag-access sa mga nakompromisong sistema.

Isang Umuunlad at Patuloy na Banta

Itinatampok ng kampanyang ito ang patuloy na ebolusyon at teknikal na sopistikasyon ng Evasive Panda. Sa pamamagitan ng pagsasama-sama ng DNS poisoning, panggagaya sa trusted-brand, multi-layered loaders, at system-bound encryption, ipinapakita ng grupo ang malinaw na kakayahang umiwas sa mga depensa habang pinapanatili ang patuloy na pag-access sa mga target na may mataas na halaga. Pinatitibay ng operasyon ang pangangailangan para sa mas matibay na seguridad ng DNS, pagpapatunay ng supply chain, at pagsubaybay sa mga mekanismo ng pag-update sa mga sensitibong kapaligiran.