Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Arka kapılar MgBot Arka Kapısı

MgBot Arka Kapısı

Mezo'de Arka kapılar, Gelişmiş Sürekli Tehdit (APT)'de
Çevir:

Gelişmiş ve Çin destekli bir kalıcı tehdit (APT) operasyonunun, MgBot arka kapı yazılımını yaymak için Alan Adı Sistemi (DNS) altyapısını kötüye kullanan uzun süreli bir siber casusluk kampanyasına bağlı olduğu belirlendi. Kampanya, Türkiye, Çin ve Hindistan'daki özenle seçilmiş kurbanlara odaklandı ve Kasım 2022'den Kasım 2024'e kadar aktif kaldı.

Operasyonun Arkasındaki Düşman

Bu faaliyet, Evasive Panda olarak bilinen ve Bronze Highland, Daggerfly ve StormBamboo adlarıyla da takip edilen tehdit aktörüne bağlanmıştır. Bu grubun en az 2012'den beri faaliyette olduğu değerlendirilmekte olup, geniş çaplı fırsatçı saldırılardan ziyade son derece hedefli sızmalarıyla bilinmektedir.

Ortadaki Düşman Taktikini Temel Bir Yöntem Olarak Kullanmak

Kampanyanın özünde, aracı saldırgan (AitM) tekniklerinin kullanımı yatıyordu. Saldırganlar, kurbanların sessizce kendi kontrolleri altındaki altyapıya yönlendirilmesi için DNS yanıtlarını manipüle ettiler. Kötü amaçlı yazılım yükleyicileri belirli dosya konumlarına yerleştirilirken, şifrelenmiş bileşenler saldırgan kontrolündeki sunucularda barındırıldı ve yalnızca meşru web sitelerine bağlı belirli DNS sorgularına yanıt olarak iletildi.

DNS Zehirleme Saldırılarının Kötüye Kullanımına Dair Bir Model

Bu kampanya münferit bir olay değil. Evasive Panda, DNS zehirlenmesi konusunda defalarca uzmanlığını göstermiştir. Daha önceki araştırmalar, grubun Nisan 2023'te benzer taktikler kullandığını ortaya koymuştu; o dönemde grup, Çin anakarasındaki uluslararası bir STK'ya karşı Tencent QQ gibi güvenilir yazılımların truva atı bulaştırılmış sürümlerini dağıtmak için muhtemelen bir tedarik zinciri ihlali veya AitM saldırısı kullanmıştı.

Ağustos 2024'te yapılan ek haberlerde, grubun adı açıklanmayan bir internet servis sağlayıcısını (İSS) ele geçirdiği ve zehirli DNS yanıtlarını kullanarak seçilmiş hedeflere kötü amaçlı yazılım güncellemeleri dağıttığı ortaya çıktı.

Çin’le Uyumlu Havacılık ve Uzay Yönetimi Aktörlerinin Daha Geniş Bir Ekosistemi

Evasive Panda, kötü amaçlı yazılımların ağlar içinde yayılması ve dağıtılması için AitM tabanlı zehirlenmeye dayanan, Çin'le bağlantılı tehdit gruplarının daha geniş bir yelpazesinin parçasıdır. Analistler, benzer yaklaşımlar kullanan en az on aktif grup tespit etmiş olup, bu durum DNS manipülasyonunun bu ekosistem içinde tercih edilen bir teknik haline geldiğini vurgulamaktadır.

Silahlandırılmış Yazılım Güncellemeleri Yem Olarak Kullanılıyor

Belgelenen saldırılarda, kurbanlar meşru üçüncü taraf yazılımlar gibi görünen sahte güncellemelerle kandırıldı. Öne çıkan bir tuzak, Çinli teknoloji şirketi Sohu'nun video akış uygulaması SohuVA için güncellemeler gibi görünüyordu. Güncelleme, meşru alan adı p2p.hd.sohu.com[.]cn'den kaynaklanıyormuş gibi görünüyordu; bu da, uygulamanın appdata\roaming\shapp\7.0.18.0\package altındaki standart dizinindeki ikili dosyaları güncellemeye çalışırken trafiği kötü amaçlı bir sunucuya yönlendirmek için DNS zehirlenmesinin kullanıldığını güçlü bir şekilde düşündürmektedir.

Araştırmacılar ayrıca Baidu'nun iQIYI Video, IObit Smart Defrag ve Tencent QQ için sahte güncelleme araçlarını kötüye kullanan paralel kampanyalar da gözlemledi.

Güvenilir Alan Adları Aracılığıyla Çok Aşamalı Veri Yükü Teslimi

Sahte güncellemenin başarılı bir şekilde yürütülmesi, shellcode'u başlatan bir ilk yükleyicinin devreye alınmasına yol açtı. Bu shellcode, yine DNS zehirlenmesi yoluyla, bu kez meşru alan adı dictionary.com'u kötüye kullanarak, PNG görüntüsü olarak gizlenmiş şifrelenmiş ikinci aşama yükünü aldı.

Saldırganlar, DNS çözümlemesini manipüle ederek dictionary.com adresinin, kurbanın coğrafi konumu ve internet servis sağlayıcısı (ISP) tarafından seçici olarak belirlenen, saldırganların kontrolündeki IP adreslerine yönlendirilmesini sağladı. Bu zararlı yazılımı almak için kullanılan HTTP isteği, kurbanın Windows sürümünü de içeriyordu; bu da saldırganların sonraki eylemleri belirli işletim sistemi sürümlerine göre uyarlamalarına olanak sağladı. Bu seçici hedefleme, grubun daha önce kullandığı "watering hole" saldırılarını, özellikle de MACMA olarak bilinen macOS zararlı yazılımının dağıtımını anımsatıyor.

DNS Zehirlenmesi Nasıl Gerçekleştirilmiş Olabilir?

DNS yanıtlarını zehirlemek için kullanılan kesin yöntem henüz doğrulanmamış olsa da, araştırmacılar iki ana olasılıktan şüpheleniyor:

  • Kurban İnternet Servis Sağlayıcılarının (ISP) seçici olarak ele geçirilmesi, potansiyel olarak DNS trafiğini manipüle etmek için uç cihazlara ağ kötü amaçlı yazılımlar yerleştirilmesini içerebilir.
  • Kurban ortamlarındaki yönlendiricilerin veya güvenlik duvarlarının doğrudan ele geçirilmesi yoluyla DNS yanıtlarının yerel olarak değiştirilmesi.

Gelişmiş Yükleyici Zinciri ve Özel Şifreleme

İkinci aşama kötü amaçlı yazılım dağıtım süreci kasıtlı olarak karmaşıktır. İlk shellcode, kurbana özgü bir yükü şifresini çözerek çalıştırır; bu yaklaşımın, her hedef için benzersiz bir şifrelenmiş dosya oluşturarak tespit edilme olasılığını azaltacağına inanılmaktadır.

libpython2.4.dll kılığında gizlenmiş ikincil bir yükleyici, yeniden adlandırılmış, eski bir python.exe dosyasını yan yüklemeye dayanır. Çalıştırıldıktan sonra, C:\ProgramData\Microsoft\eHome\perf.dat dosyasından okuyarak bir sonraki aşama yükünü alır ve şifresini çözer. Bu dosya, önce XOR ile şifrelenmiş, ardından şifresi çözülmüş ve son olarak Microsoft'un Veri Koruma API'si (DPAPI) ve RC5 algoritmasının özel bir hibriti kullanılarak yeniden şifrelenmiş kötü amaçlı yazılım içerir. Bu tasarım, yükün yalnızca orijinal kurban sisteminde şifresinin çözülebilmesini sağlayarak, müdahale ve çevrimdışı analizi önemli ölçüde zorlaştırır.

MgBot: Gizli ve Yetenekli Bir İmplant

Şifre çözüldükten sonra, zararlı yazılım meşru bir svchost.exe işlemine enjekte edilir ve kendisini MgBot arka kapısının bir varyantı olarak gösterir. Bu modüler implant, aşağıdakiler de dahil olmak üzere çok çeşitli casusluk işlevlerini destekler:

  • Dosya toplama ve sızdırma
  • Tuş vuruşu kaydı ve panodan veri toplama
  • Ses kaydı
  • Tarayıcıda saklanan kimlik bilgilerinin çalınması

Bu yetenekler, saldırganların ele geçirdikleri sistemlere uzun vadeli ve gizli erişim sağlamalarına olanak tanır.

Gelişen ve Kalıcı Bir Tehdit

Bu kampanya, Evasive Panda'nın sürekli evrimini ve teknik gelişmişliğini vurgulamaktadır. DNS zehirlenmesi, güvenilir marka taklitçiliği, çok katmanlı yükleyiciler ve sistem tabanlı şifrelemeyi bir araya getiren grup, yüksek değerli hedeflere sürekli erişim sağlarken savunmaları atlatma konusunda açık bir yetenek sergilemektedir. Operasyon, hassas ortamlarda daha güçlü DNS güvenliği, tedarik zinciri doğrulaması ve güncelleme mekanizmalarının izlenmesi ihtiyacını pekiştirmektedir.

trend

Microsoft Hesabınızla İlgili E-posta Dolandırıcılığı...

Kimlik avı, İstenmeyen e-posta
Beklenmedik ve acil müdahale gerektiren e-postalar, siber suçluların en sevdiği silahlardan biridir. Özellikle hesap sorunları veya yeni yayınlanan belgeler hakkında uyarıda bulunan mesajlar gibi beklenmedik durumlarda tetikte kalmanın ne kadar önemli olduğu yeterince vurgulanamaz. Çevrimiçi olarak dolaşan bu tür tehditlerden biri de, güveni istismar etmek ve hassas bilgileri çalmak için...

En çok görüntülenen

Yükleniyor...