Бекдор MgBot
Складну операцію з боротьби з постійними загрозами (APT), пов'язану з Китаєм, приписують тривалій кампанії кібершпигунства, яка використовувала інфраструктуру системи доменних імен (DNS) для встановлення бекдору MgBot. Кампанія була зосереджена на ретельно відібраних жертвах у Туреччині, Китаї та Індії та залишалася активною з листопада 2022 року по листопад 2024 року.
Зміст
Противник операції
Цю активність пов'язують зі зловмисником, широко відомим як Evasive Panda, якого також відстежують під назвами Bronze Highland, Daggerfly та StormBamboo. За оцінками, ця група діє щонайменше з 2012 року та відома цілеспрямованими вторгненнями, а не масштабними опортуністичними атаками.
Противник посередині як основна тактика
В основі кампанії лежало використання методів «злочинець посередині» (AitM). Зловмисники маніпулювали DNS-відповідями таким чином, щоб жертви непомітно перенаправлялися до інфраструктури, що перебуває під їхнім контролем. Завантажувачі шкідливого програмного забезпечення розміщувалися в точних місцях розташування файлів, тоді як зашифровані компоненти розміщувалися на серверах, контрольованих зловмисниками, і доставлялися лише у відповідь на певні DNS-запити, пов’язані з легітимними веб-сайтами.
Схема зловживання отруєнням DNS
Ця кампанія не є поодиноким випадком. Evasive Panda неодноразово демонструвала досвід у отруєнні DNS. Попередні дослідження виявляли подібну тактику у квітні 2023 року, коли група, ймовірно, використала або компрометацію ланцюга поставок, або атаку AitM для розповсюдження троянських версій надійного програмного забезпечення, такого як Tencent QQ, проти міжнародної неурядової організації в материковому Китаї.
У серпні 2024 року подальші повідомлення показали, що група скомпрометувала неназваний інтернет-провайдер (ISP), зловживаючи отруєними DNS-відповідями для розповсюдження оновлень шкідливого програмного забезпечення серед вибраних цілей.
Ширша екосистема учасників AitM, пов’язаних з Китаєм
Evasive Panda є частиною ширшого ландшафту пов'язаних з Китаєм груп загроз, які покладаються на отруєння на основі AitM для доставки та переміщення шкідливого програмного забезпечення в мережах. Аналітики виявили щонайменше десять активних груп, що використовують подібні підходи, що підкреслює, що маніпуляції DNS стали популярним методом у цій екосистемі.
Оновлення програмного забезпечення, що перетворюються на зброю, як приманки
У задокументованих вторгненнях жертв заманювали підробленими оновленнями, маскованими під легітимне програмне забезпечення сторонніх розробників. Одна з відомих приманок видавала себе за оновлення для SohuVA, програми потокового відео від китайської технологічної компанії Sohu. Оновлення, ймовірно, походило з легітимного домену p2p.hd.sohu.com[.]cn, що переконливо свідчить про те, що отруєння DNS використовувалося для перенаправлення трафіку на шкідливий сервер, поки програма намагалася оновити бінарні файли у своєму стандартному каталозі appdata\roaming\shapp\7.0.18.0\package.
Дослідники також спостерігали паралельні кампанії, що зловживали фальшивими програмами оновлення для Baidu iQIYI Video, IObit Smart Defrag та Tencent QQ.
Багатоетапна доставка корисного навантаження через довірені домени
Успішне виконання фальшивого оновлення призвело до розгортання початкового завантажувача, який запустив шеллкод. Цей шеллкод отримав зашифроване корисне навантаження другого етапу, замасковане під зображення PNG, знову ж таки через отруєння DNS, цього разу зловживаючи легітимним доменом dictionary.com.
Зловмисники маніпулювали роздільною здатністю DNS таким чином, щоб dictionary.com налаштовувався на IP-адреси, контрольовані зловмисником, вибірково визначені географічним розташуванням жертви та її інтернет-провайдером. HTTP-запит, який використовувався для отримання цього корисного навантаження, містив версію Windows жертви, що, ймовірно, дозволяло зловмисникам адаптувати подальші дії до певних збірок операційної системи. Таке вибіркове таргетування перегукується з попереднім використанням групою атак типу «watering hole», включаючи розповсюдження шкідливого програмного забезпечення для macOS, відомого як MACMA.
Як могло бути досягнуто отруєння DNS
Хоча точний метод, який використовується для отруєння DNS-відповідей, залишається непідтвердженим, слідчі підозрюють дві основні можливості:
- Вибіркове компрометування інтернет-провайдерів-жертв, потенційно з використанням мережевих імплантів на периферійних пристроях для маніпулювання DNS-трафіком.
- Пряма компрометація маршрутизаторів або брандмауерів у середовищах жертви для локальної зміни відповідей DNS.
Складний ланцюжок завантажувача та спеціальне шифрування
Процес доставки шкідливого програмного забезпечення на другому етапі навмисно складний. Початковий шелл-код розшифровує та виконує корисне навантаження, специфічне для жертви, що, як вважається, знижує рівень виявлення, генеруючи унікальний зашифрований файл для кожної цілі.
Вторинний завантажувач, замаскований під libpython2.4.dll, використовує стороннє завантаження перейменованого, застарілого python.exe. Після виконання він отримує та розшифровує корисне навантаження наступного етапу, зчитуючи його з C:\ProgramData\Microsoft\eHome\perf.dat. Цей файл містить шкідливе програмне забезпечення, яке спочатку було зашифровано за допомогою XOR, потім розшифровано, а потім повторно зашифровано за допомогою спеціального гібрида API захисту даних Microsoft (DPAPI) та алгоритму RC5. Така конструкція гарантує, що корисне навантаження можна розшифрувати лише на оригінальній системі жертви, що значно ускладнює перехоплення та офлайн-аналіз.
MgBot: непомітний та потужний імплантат
Після розшифрування корисне навантаження вводиться в легітимний процес svchost.exe, виявляючи себе як варіант бекдора MgBot. Цей модульний імплант підтримує широкий спектр шпигунських функцій, зокрема:
- Збір та вилучення файлів
- Реєстрація натискань клавіш та збір даних з буфера обміну
- Аудіозапис
- Крадіжка облікових даних, що зберігаються в браузері
Ці можливості дозволяють зловмисникам підтримувати довгостроковий, прихований доступ до скомпрометованих систем.
Змінна та постійна загроза
Ця кампанія підкреслює постійний розвиток та технічну досконалість Evasive Panda. Поєднуючи отруєння DNS, імітацію довіреного бренду, багаторівневі завантажувачі та системне шифрування, група демонструє чітку здатність обходити захист, зберігаючи при цьому постійний доступ до цінних об'єктів. Ця операція підсилює потребу в посиленні безпеки DNS, перевірці ланцюга поставок та моніторингу механізмів оновлення в чутливих середовищах.
