多许可证折扣报价
威胁数据库 后门 MgBot 后门

MgBot 后门

通过Mezo后门, 高级持续性威胁 (APT)
翻译为:

一项精心策划的、与中国结盟的高级持续性威胁 (APT) 行动,被指与一项长期网络间谍活动有关。该活动滥用域名系统 (DNS) 基础设施,植入了 MgBot 后门程序。该活动的目标用户是土耳其、中国和印度的精心挑选的受害者,活动时间从 2022 年 11 月持续到 2024 年 11 月。

行动背后的对手

该活动与名为“Evasive Panda”的威胁组织有关,该组织也曾使用过“Bronze Highland”、“Daggerfly”和“StormBamboo”等名称。据评估,该组织至少从2012年起就开始活动,并且以高度针对性的入侵而非广泛的机会主义攻击而闻名。

以中间人为核心战术

此次攻击活动的核心在于使用了中间人攻击(AitM)技术。攻击者篡改DNS响应,使受害者在不知不觉中被重定向到他们控制的基础设施。恶意软件加载程序被放置在特定的文件位置,而加密组件则托管在攻击者控制的服务器上,并且仅在响应与合法网站相关的特定DNS查询时才会发送。

DNS投毒滥用模式

这次攻击并非孤例。“规避熊猫”组织已多次展现出其在DNS投毒方面的专业能力。此前的研究曾指出,该组织在2023年4月也曾使用过类似的策略,当时他们可能利用供应链入侵或AitM攻击,向中国大陆一家国际非政府组织散布了植入木马的可信软件版本,例如腾讯QQ。

2024 年 8 月,进一步的报道揭露,该组织入侵了一家未具名的互联网服务提供商 (ISP),利用被污染的 DNS 响应向选定的目标分发恶意软件更新。

更广泛的与中国结盟的AitM行动者生态系统

Evasive Panda 只是众多与中国结盟的威胁组织中的一部分,这些组织依赖基于恶意入侵检测(AitM)的投毒技术在网络中传播和移动恶意软件。分析人士已发现至少有十个活跃的组织使用类似方法,这表明 DNS 操纵已成为该生态系统中常用的技术。

武器化的软件更新作为诱饵

在已记录的入侵事件中,受害者被伪装成合法第三方软件的虚假更新所诱骗。其中一个著名的诱饵是冒充搜狐视频应用(SohuVA)的更新,该应用由中国科技公司搜狐开发。该更新看似来自合法域名 p2p.hd.sohu.com[.]cn,这强烈表明攻击者使用了 DNS 投毒技术,将流量重定向到恶意服务器,同时该应用试图更新其位于 appdata\roaming\shapp\7.0.18.0\package 目录下的标准二进制文件。

研究人员还观察到,针对百度爱奇艺视频、IObit Smart Defrag 和腾讯 QQ 的虚假更新程序也存在类似的平行攻击活动。

通过可信域进行多阶段有效载荷交付

虚假更新成功后,初始加载程序被部署,并启动了 shellcode。该 shellcode 通过 DNS 投毒攻击(这次滥用了合法域名 dictionary.com)获取了一个伪装成 PNG 图片的加密第二阶段有效载荷。

攻击者篡改了DNS解析,使dictionary.com解析到攻击者控制的IP地址,这些地址是根据受害者的地理位置和ISP选择性地确定的。用于获取有效载荷的HTTP请求包含了受害者的Windows版本信息,这可能使攻击者能够针对特定的操作系统版本定制后续操作。这种选择性攻击与该组织之前使用水坑攻击的手段如出一辙,例如传播名为MACMA的macOS恶意软件。

DNS投毒攻击可能是如何实现的

尽管用于污染 DNS 响应的确切方法尚未得到证实,但调查人员怀疑主要有两种可能性:

  • 选择性地入侵受害 ISP,可能涉及在边缘设备上植入网络植入物以操纵 DNS 流量。
  • 直接入侵受害者环境中的路由器或防火墙,以在本地更改 DNS 响应。

复杂的加载器链和自定义加密

第二阶段恶意软件传播过程刻意设计得十分复杂。初始 shellcode 会解密并执行针对特定受害者的有效载荷,这种方法被认为可以通过为每个目标生成唯一的加密文件来降低被检测的风险。

一个伪装成 libpython2.4.dll 的辅助加载器依赖于侧载一个重命名的旧版 python.exe 文件。执行后,它会读取 C:\ProgramData\Microsoft\eHome\perf.dat 文件,从中检索并解密下一阶段的有效载荷。该文件包含的恶意软件首先经过 XOR 加密,然后解密,最后使用 Microsoft 数据保护 API (DPAPI) 和 RC5 算法的自定义混合算法重新加密。这种设计确保有效载荷只能在原始受害者系统上解密,从而显著增加了拦截和离线分析的难度。

MgBot:一种隐蔽且功能强大的植入体

解密后,有效载荷被注入到合法的 svchost.exe 进程中,从而暴露出其为 MgBot 后门的变种。这种模块化植入程序支持多种间谍功能,包括:

  • 文件收集和泄露
  • 键盘记录和剪贴板数据采集
  • 录音
  • 浏览器存储凭证被盗

这些能力使攻击者能够长期、隐蔽地访问被入侵的系统。

不断演变且持续存在的威胁

此次攻击活动凸显了 Evasive Panda 组织的持续发展及其技术实力。该组织通过结合 DNS 投毒、可信品牌冒充、多层加载器和系统级加密等手段,展现了其在持续访问高价值目标的同时,有效规避防御体系的能力。此次行动也再次强调了在敏感环境中加强 DNS 安全、供应链验证以及更新机制监控的必要性。

趋势

Search.ansiblealgorithm.com

恶意网站, 浏览器劫持者, 可能不需要的程序
在当今的网络威胁环境下,保护系统免受侵入性和不可信软件的侵害与防范恶意软件同等重要。潜在有害程序 (PUP) 通常游走于灰色地带:它们看似有用或无害,但却可能损害隐私、削弱浏览器安全性,并使用户接触到误导性或不安全的在线内容。Search.ansiblealgorithm.com 就是一个典型的例子,这是一个可疑的搜索引擎,它通过名为 AI Output Algo Tool...

关于您的微软帐户电子邮件诈骗的重要警报

网络钓鱼, 垃圾邮件
网络犯罪分子惯用的伎俩是发送要求紧急处理的意外邮件。对于突然出现的邮件,尤其是那些警告账户问题或新发布文件的邮件,保持警惕至关重要。目前网络上流传的一种威胁是“发票即将发布”邮件诈骗,这是一种旨在利用信任窃取敏感信息的欺骗性活动。尽管这些邮件声称与任何合法公司、组织或实体有关,但它们实际上与这些公司、组织或实体没有任何关联。 什么是“发票即将发放”电子邮件诈骗? “发票即将发布”骗局是更广泛的网络钓鱼趋势的一部分,这种趋势涉及虚假警报和捏造的账户问题。这些电子邮件通常声称,由于所谓的安全或账单问题,一份重要的发票或文件已被发布,需要立即审核。实际上,这些信息完全是欺诈性的,与任何真正的服务提供商、平台或组织都没有任何关联。 真正的目的是操纵收件人与恶意链接进行交互。 虚假紧迫感:骗局如何诱骗受害者...

最受关注

如何修复“打印机驱动程序不可用”错误

问题
47,024
打印机因拒绝在用户最需要的时候完成工作而臭名昭著。幸运的是,如果您的打印机显示“打印机驱动程序不可用”错误,那么有几个简单的解决方案可以解决该问题。此特定错误可能是由损坏的驱动程序文件、过时的驱动程序或驱动程序不兼容引起的。虽然使用 Microsoft 的通用驱动程序可以避免该问题,但我们想向您介绍其他解决方案。 更新打印机的驱动程序...
Discord 在共享屏幕时显示黑屏截图

Discord 在共享屏幕时显示黑屏

问题
35,547
首次推出时,Discord 是一个面向游戏社区的 VoIP 平台。然而,在接下来的几年里,它扩大了范围,增加了许多新功能,并成为最大的社交平台之一,每月活跃用户超过 1.4 亿。目前,用户可以发送私人即时消息、启动 VoIP 和视频通话、流式传输他们的计算机屏幕,并组织以特定兴趣为中心的称为服务器的社区。 毫无疑问,快速轻松地开始共享计算机屏幕的能力是吸引人们使用 Discord...

Discord 卡在灰色屏幕上

问题
34,938
有时,在使用 Discord 应用程序时,用户可能会卡在灰色屏幕上。在流式传输或简单地加载应用程序时可能会出现此问题。如果您遇到这种情况并且想知道如何解决它,请尝试以下解决方案。 在屏幕模式之间切换 如果原因是视觉故障而不是更严重的问题,从一种屏幕模式切换到另一种屏幕模式,例如启用全屏模式或较小的屏幕选项,可以解决问题。按键盘上的 Ctrl+A 看看它是否有任何效果。 删除 Discord...
正在加载...