Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Cửa sau Cửa hậu MgBot

Cửa hậu MgBot

Đến năm Mezo năm Cửa sau, Mối đe dọa dai dẳng nâng cao (APT)
Dịch sang:

Một chiến dịch tấn công mạng tinh vi, có liên hệ với Trung Quốc, được cho là bắt nguồn từ một chiến dịch gián điệp mạng kéo dài, lợi dụng cơ sở hạ tầng Hệ thống Tên miền (DNS) để phát tán phần mềm độc hại MgBot. Chiến dịch này nhắm vào các nạn nhân được lựa chọn kỹ lưỡng ở Thổ Nhĩ Kỳ, Trung Quốc và Ấn Độ, và hoạt động từ tháng 11 năm 2022 đến tháng 11 năm 2024.

Kẻ thù đứng sau chiến dịch

Hoạt động này được cho là có liên quan đến nhóm tin tặc được biết đến rộng rãi với tên gọi Evasive Panda, cũng được theo dõi dưới các tên Bronze Highland, Daggerfly và StormBamboo. Nhóm này được đánh giá là đã hoạt động ít nhất từ năm 2012 và nổi tiếng với các cuộc xâm nhập có mục tiêu cao thay vì các cuộc tấn công quy mô lớn, mang tính cơ hội.

Chiến thuật “kẻ thù ở giữa” là một chiến thuật cốt lõi.

Cốt lõi của chiến dịch là việc sử dụng các kỹ thuật tấn công trung gian (AitM). Kẻ tấn công đã thao túng phản hồi DNS để nạn nhân bị chuyển hướng âm thầm đến cơ sở hạ tầng nằm dưới sự kiểm soát của chúng. Các trình tải phần mềm độc hại được đặt tại các vị trí tệp chính xác, trong khi các thành phần được mã hóa được lưu trữ trên các máy chủ do kẻ tấn công kiểm soát và chỉ được phân phối khi có các truy vấn DNS cụ thể liên kết với các trang web hợp pháp.

Một mô hình lạm dụng tấn công đầu độc DNS

Chiến dịch này không phải là trường hợp cá biệt. Evasive Panda đã nhiều lần chứng minh chuyên môn trong việc đầu độc DNS. Nghiên cứu trước đó đã chỉ ra các chiến thuật tương tự vào tháng 4 năm 2023, khi nhóm này có thể đã lợi dụng lỗ hổng chuỗi cung ứng hoặc tấn công AitM để phát tán các phiên bản phần mềm độc hại, chẳng hạn như Tencent QQ, nhằm vào một tổ chức phi chính phủ quốc tế ở Trung Quốc đại lục.

Vào tháng 8 năm 2024, các báo cáo tiếp theo tiết lộ rằng nhóm này đã xâm nhập vào một nhà cung cấp dịch vụ internet (ISP) giấu tên, lợi dụng các phản hồi DNS bị nhiễm độc để phân phối các bản cập nhật phần mềm độc hại đến các mục tiêu được lựa chọn.

Một hệ sinh thái rộng lớn hơn gồm các tác nhân AitM thân Trung Quốc

Evasive Panda là một phần của bức tranh rộng lớn hơn về các nhóm tội phạm mạng liên kết với Trung Quốc, dựa vào các cuộc tấn công đầu độc dựa trên công nghệ AitM để phát tán và di chuyển phần mềm độc hại trong mạng. Các nhà phân tích đã xác định được ít nhất mười nhóm đang hoạt động sử dụng các phương pháp tương tự, cho thấy rằng thao tác DNS đã trở thành một kỹ thuật được ưa chuộng trong hệ sinh thái này.

Cập nhật phần mềm có tính chất vũ khí như một chiêu trò dụ dỗ

Trong các vụ xâm nhập được ghi nhận, nạn nhân bị dụ dỗ bằng các bản cập nhật giả mạo, đóng vai trò là phần mềm bên thứ ba hợp pháp. Một chiêu trò nổi bật là bản cập nhật giả mạo cho SohuVA, một ứng dụng phát video trực tuyến của công ty công nghệ Trung Quốc Sohu. Bản cập nhật dường như có nguồn gốc từ tên miền hợp pháp p2p.hd.sohu.com[.]cn, cho thấy mạnh mẽ rằng việc tấn công giả mạo DNS đã được sử dụng để chuyển hướng lưu lượng truy cập đến một máy chủ độc hại trong khi ứng dụng cố gắng cập nhật các tệp nhị phân trong thư mục tiêu chuẩn của nó tại appdata\roaming\shapp\7.0.18.0\package.

Các nhà nghiên cứu cũng quan sát thấy các chiến dịch song song lạm dụng các trình cập nhật giả mạo cho iQIYI Video của Baidu, IObit Smart Defrag và Tencent QQ.

Phân phối tải trọng nhiều giai đoạn thông qua các tên miền đáng tin cậy

Việc thực thi thành công bản cập nhật giả mạo đã dẫn đến việc triển khai một trình tải ban đầu khởi chạy mã độc. Mã độc này đã lấy được một tải trọng giai đoạn hai được mã hóa, ngụy trang dưới dạng hình ảnh PNG, một lần nữa thông qua tấn công giả mạo DNS, lần này lợi dụng tên miền hợp pháp dictionary.com.

Nhóm tấn công đã thao túng quá trình phân giải DNS khiến cho dictionary.com được phân giải thành các địa chỉ IP do chúng kiểm soát, được lựa chọn dựa trên vị trí địa lý và nhà cung cấp dịch vụ Internet (ISP) của nạn nhân. Yêu cầu HTTP được sử dụng để tải phần mềm độc hại này bao gồm phiên bản Windows của nạn nhân, có khả năng cho phép nhóm tấn công tùy chỉnh các hành động tiếp theo cho các phiên bản hệ điều hành cụ thể. Việc nhắm mục tiêu có chọn lọc này tương tự như việc nhóm này từng sử dụng các cuộc tấn công "watering hole" trước đây, bao gồm cả việc phát tán phần mềm độc hại macOS có tên MACMA.

Phương thức tấn công làm nhiễm độc DNS có thể đã được thực hiện như thế nào?

Mặc dù phương pháp chính xác được sử dụng để làm sai lệch phản hồi DNS vẫn chưa được xác nhận, nhưng các nhà điều tra nghi ngờ có hai khả năng chính:

  • Việc tấn công có chọn lọc các nhà cung cấp dịch vụ Internet (ISP) của nạn nhân, có thể liên quan đến việc cài đặt phần mềm gián điệp trên các thiết bị đầu cuối để thao túng lưu lượng DNS.
  • Tấn công trực tiếp vào bộ định tuyến hoặc tường lửa trong môi trường của nạn nhân để thay đổi phản hồi DNS cục bộ.

Chuỗi tải phức tạp và mã hóa tùy chỉnh

Quá trình phát tán phần mềm độc hại giai đoạn hai được thiết kế phức tạp một cách có chủ ý. Mã shellcode ban đầu giải mã và thực thi payload dành riêng cho nạn nhân, một phương pháp được cho là giúp giảm khả năng bị phát hiện bằng cách tạo ra một tệp mã hóa duy nhất cho mỗi mục tiêu.

Một trình tải phụ, được ngụy trang dưới dạng libpython2.4.dll, dựa vào việc tải thủ công một tệp python.exe đã lỗi thời và được đổi tên. Sau khi được thực thi, nó sẽ truy xuất và giải mã tải trọng giai đoạn tiếp theo bằng cách đọc từ C:\ProgramData\Microsoft\eHome\perf.dat. Tệp này chứa phần mềm độc hại đã được mã hóa XOR trước, sau đó được giải mã và cuối cùng được mã hóa lại bằng cách sử dụng một thuật toán lai tùy chỉnh giữa API Bảo vệ Dữ liệu của Microsoft (DPAPI) và thuật toán RC5. Thiết kế này đảm bảo rằng tải trọng chỉ có thể được giải mã trên hệ thống nạn nhân ban đầu, làm phức tạp đáng kể việc chặn bắt và phân tích ngoại tuyến.

MgBot: Một thiết bị cấy ghép bí mật và hiệu quả

Sau khi giải mã, phần mềm độc hại được tiêm vào tiến trình svchost.exe hợp pháp, tự bộc lộ là một biến thể của phần mềm cửa hậu MgBot. Phần mềm cấy ghép dạng mô-đun này hỗ trợ nhiều chức năng gián điệp, bao gồm:

  • Thu thập và rò rỉ tập tin
  • Ghi nhật ký thao tác bàn phím và thu thập dữ liệu từ clipboard
  • Ghi âm
  • Đánh cắp thông tin đăng nhập được lưu trữ trên trình duyệt

Những khả năng này cho phép kẻ tấn công duy trì quyền truy cập bí mật lâu dài vào các hệ thống bị xâm nhập.

Một mối đe dọa đang phát triển và dai dẳng

Chiến dịch này làm nổi bật sự phát triển không ngừng và độ tinh vi về kỹ thuật của Evasive Panda. Bằng cách kết hợp tấn công làm nhiễm độc DNS, mạo danh thương hiệu đáng tin cậy, các trình tải đa lớp và mã hóa ràng buộc hệ thống, nhóm này thể hiện khả năng rõ ràng trong việc né tránh các biện pháp phòng thủ đồng thời duy trì quyền truy cập liên tục vào các mục tiêu có giá trị cao. Chiến dịch này nhấn mạnh sự cần thiết phải tăng cường bảo mật DNS, xác thực chuỗi cung ứng và giám sát các cơ chế cập nhật trong môi trường nhạy cảm.

xu hướng

Cảnh báo quan trọng về email lừa đảo tài khoản...

Lừa đảo, Thư rác
Những email bất ngờ yêu cầu sự chú ý khẩn cấp là một vũ khí ưa thích của tội phạm mạng. Không thể nhấn mạnh đủ tầm quan trọng của việc luôn cảnh giác khi nhận được những tin nhắn không rõ nguồn gốc, đặc biệt là những tin nhắn cảnh báo về các vấn đề tài khoản hoặc tài liệu mới được công bố. Một mối đe dọa như vậy đang lan truyền trên mạng là trò lừa đảo qua email "Hóa đơn đang được công bố", một...

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
29,658
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...