多許可證折扣報價
威脅數據庫 後門 MgBot 後門

MgBot 後門

後門, 進階持續性威脅 (APT)Mezo
翻譯為:

一項精心策劃的、與中國結盟的高級持續性威脅 (APT) 行動,被指與一項長期網路間諜活動有關。該活動濫用域名系統 (DNS) 基礎設施,植入了 MgBot 後門程式。該活動的目標用戶是土耳其、中國和印度的精心挑選的受害者,活動時間從 2022 年 11 月持續到 2024 年 11 月。

行動背後的對手

該活動與名為「Evasive Panda」的威脅組織有關,該組織也曾使用過「Bronze Highland」、「Daggerfly」和「StormBamboo」等名稱。根據評估,該組織至少從2012年起就開始活動,並以高度針對性的入侵而非廣泛的機會主義攻擊而聞名。

以中間人為核心戰術

這次攻擊活動的核心在於使用了中間人攻擊(AitM)技術。攻擊者篡改DNS回應,使受害者在不知不覺中被重定向到他們控制的基礎設施。惡意軟體載入程式被放置在特定的檔案位置,而加密元件則託管在攻擊者控制的伺服器上,並且僅在回應與合法網站關聯的特定DNS查詢時才會傳送。

DNS投毒濫用模式

這次攻擊並非孤例。 「規避熊貓」組織已多次展現出其在DNS投毒方面的專業能力。先前的研究曾指出,該組織在2023年4月也曾使用過類似的策略,當時他們可能利用供應鏈入侵或AitM攻擊,向中國大陸一家國際非政府組織散佈了植入木馬的可信軟體版本,例如騰訊QQ。

2024 年 8 月,進一步的報告揭露,該組織入侵了一家未具名的網路服務供應商 (ISP),利用被污染的 DNS 回應向選定的目標分發惡意軟體更新。

更廣泛的與中國結盟的AitM行動者生態系統

Evasive Panda 只是許多與中國結盟的威脅組織中的一部分,這些組織依賴基於惡意入侵偵測(AitM)的投毒技術在網路中傳播和移動惡意軟體。分析師已發現至少有十個活躍的組織使用類似方法,這表明 DNS 操縱已成為該生態系統中常用的技術。

武器化的軟體更新作為誘餌

在已記錄的入侵事件中,受害者被偽裝成合法第三方軟體的虛假更新所誘騙。其中一個著名的誘餌是冒充搜狐視訊應用(SohuVA)的更新,該應用由中國科技公司搜狐開發。這項更新看似來自合法網域名稱 p2p.hd.sohu.com[.]cn,這強烈表明攻擊者使用了 DNS 投毒技術,將流量重定向到惡意伺服器,同時該應用程式試圖更新其位於 appdata\roaming\shapp\7.0.18.0\package 目錄下的標準二進位檔案。

研究人員也觀察到,針對百度愛奇藝影片、IObit Smart Defrag 和騰訊 QQ 的假更新程式也存在類似的平行攻擊活動。

透過可信任域進行多階段有效載荷交付

虛假更新成功後,初始載入程式被部署,並啟動了 shellcode。該 shellcode 透過 DNS 投毒(這次濫用了合法網域 dictionary.com)取得了一個偽裝成 PNG 圖片的加密第二階段有效載荷。

攻擊者篡改了DNS解析,使dictionary.com解析到攻擊者控制的IP位址,這些位址是根據受害者的地理位置和ISP選擇性地決定的。用於獲取有效載荷的HTTP請求包含了受害者的Windows版本訊息,這可能使攻擊者能夠針對特定的作業系統版本自訂後續操作。這種選擇性攻擊與該組織先前使用水坑攻擊的手段如出一轍,例如傳播名為MACMA的macOS惡意軟體。

DNS投毒攻擊可能是如何實現的

儘管用於污染 DNS 回應的確切方法尚未得到證實,但調查人員懷疑主要有兩種可能性:

  • 選擇性地入侵受害 ISP,可能涉及在邊緣設備上植入網路植入物以操縱 DNS 流量。
  • 直接入侵受害者環境中的路由器或防火牆,以在本地更改 DNS 回應。

複雜的載入器鍊和自訂加密

第二階段惡意軟體傳播過程刻意設計得十分複雜。初始 shellcode 會解密並執行針對特定受害者的有效載荷,這種方法被認為可以透過為每個目標產生唯一的加密檔案來降低被偵測的風險。

一個偽裝成 libpython2.4.dll 的輔助載入器依賴於側載一個重命名的舊版 python.exe 檔案。執行後,它會讀取 C:\ProgramData\Microsoft\eHome\perf.dat 文件,從中檢索並解密下一階段的有效載荷。該檔案包含的惡意軟體首先經過 XOR 加密,然後解密,最後使用 Microsoft 資料保護 API (DPAPI) 和 RC5 演算法的自訂混合演算法重新加密。這種設計確保有效載荷只能在原始受害者係統上解密,從而顯著增加了攔截和離線分析的難度。

MgBot:一種隱密且功能強大的植入體

解密後,有效載荷被注入到合法的 svchost.exe 進程中,從而暴露出其為 MgBot 後門的變種。這種模組化植入程式支援多種間諜功能,包括:

  • 文件收集和洩露
  • 鍵盤記錄和剪貼簿資料收集
  • 錄音
  • 瀏覽器儲存憑證被盜

這些能力使攻擊者能夠長期、隱密地存取被入侵的系統。

不斷演變且持續存在的威脅

這次攻擊活動凸顯了 Evasive Panda 組織的持續發展及其技術強度。該組織透過結合 DNS 投毒、可信任品牌冒充、多層加載器和系統級加密等手段,展現了其在持續存取高價值目標的同時,有效規避防禦體系的能力。這次行動也再次強調了在敏感環境中加強 DNS 安全性、供應鏈驗證以及更新機制監控的必要性。

熱門

Search.ansiblealgorithm.com

流氓網站, 瀏覽器劫持者, 潛在有害程序
在現今的網路威脅環境下,保護系統免受侵入性和不可信軟體的侵害與防範惡意軟體同等重要。潛在有害程式 (PUP) 通常遊走於灰色地帶:它們看似有用或無害,但卻可能損害隱私、削弱瀏覽器安全性,並使用戶接觸到誤導性或不安全的線上內容。 Search.ansiblealgorithm.com 就是一個典型的例子,這是一個可疑的搜尋引擎,它透過名為 AI Output Algo Tool...

關於您的微軟帳戶電子郵件詐騙的重要警報

網路釣魚, 垃圾郵件
網路犯罪者慣用的伎倆是發送要求緊急處理的意外郵件。對於突然出現的郵件,尤其是那些警告帳戶問題或新發布文件的郵件,保持警惕至關重要。目前網路上流傳的一種威脅是「發票即將發布」郵件詐騙,這是一種旨在利用信任竊取敏感資訊的欺騙性活動。儘管這些郵件聲稱與任何合法公司、組織或實體有關,但它們實際上與這些公司、組織或實體沒有任何關聯。 什麼是「發票即將發放」電子郵件詐騙? 「發票即將發布」騙局是更廣泛的網路釣魚趨勢的一部分,這種趨勢涉及虛假警報和捏造的帳戶問題。這些電子郵件通常聲稱,由於所謂的安全或帳單問題,一份重要的發票或文件已被發布,需要立即審核。實際上,這些資訊完全是欺詐性的,與任何真正的服務提供者、平台或組織都沒有任何關聯。 真正的目的是操縱收件者與惡意連結互動。 虛假緊迫感:騙局如何誘騙受害者...

最受關注

如何修復“打印機驅動程序不可用”錯誤

問題
47,024
打印機因拒絕在用戶最需要的時候完成工作而臭名昭著。幸運的是,如果您的打印機顯示“打印機驅動程序不可用”錯誤,那麼有幾個簡單的解決方案可以解決該問題。此特定錯誤可能是由損壞的驅動程序文件、過時的驅動程序或驅動程序不兼容引起的。雖然使用 Microsoft 的通用驅動程序可以避免該問題,但我們想向您介紹其他解決方案。 更新打印機的驅動程序...
Discord 在共享屏幕時顯示黑屏截图

Discord 在共享屏幕時顯示黑屏

問題
35,547
首次推出時,Discord 是一個面向遊戲社區的 VoIP 平台。然而,在接下來的幾年裡,它擴大了範圍,增加了許多新功能,並成為最大的社交平台之一,每月活躍用戶超過 1.4 億。目前,用戶可以發送私人即時消息、啟動 VoIP 和視頻通話、流式傳輸他們的計算機屏幕,並組織以特定興趣為中心的稱為服務器的社區。 毫無疑問,快速輕鬆地開始共享計算機屏幕的能力是吸引人們使用 Discord...

Discord 卡在灰色屏幕上

問題
34,938
有時,在使用 Discord 應用程序時,用戶可能會卡在灰色屏幕上。在流式傳輸或簡單地加載應用程序時可能會出現此問題。如果您遇到這種情況並且想知道如何解決它,請嘗試以下解決方案。 在屏幕模式之間切換 如果原因是視覺故障而不是更嚴重的問題,從一種屏幕模式切換到另一種屏幕模式,例如啟用全屏模式或較小的屏幕選項,可以解決問題。按鍵盤上的 Ctrl+A 看看它是否有任何效果。 刪除 Discord...
加載中...