MgBot-bagdør
En sofistikeret, Kina-allieret APT-operation (Advanced Persistent Threat) er blevet tilskrevet en langvarig cyberspionagekampagne, der misbrugte DNS-infrastrukturen (Domain Name System) til at levere MgBot-bagdøren. Kampagnen fokuserede på omhyggeligt udvalgte ofre i Tyrkiet, Kina og Indien og forblev aktiv fra november 2022 til november 2024.
Indholdsfortegnelse
Modstanderen bag operationen
Aktiviteten er blevet forbundet med trusselsaktøren, der er bredt kendt som Evasive Panda, også sporet under navnene Bronze Highland, Daggerfly og StormBamboo. Denne gruppe er blevet vurderet til at være operationel siden mindst 2012 og er kendt for meget målrettede indtrængen snarere end brede, opportunistiske angreb.
Modstander i midten som en kernetaktik
Kernen i kampagnen var brugen af "adversary-in-the-middle"-teknikker (AitM). Angriberne manipulerede DNS-svar, så ofrene lydløst blev omdirigeret til infrastruktur under deres kontrol. Malware-loadere blev placeret på præcise filplaceringer, mens krypterede komponenter blev hostet på angriberkontrollerede servere og kun leveret som svar på specifikke DNS-forespørgsler knyttet til legitime websteder.
Et mønster af DNS-forgiftningsmisbrug
Denne kampagne er ikke et isoleret tilfælde. Evasive Panda har gentagne gange demonstreret ekspertise inden for DNS-forgiftning. Tidligere forskning fremhævede lignende taktikker i april 2023, hvor gruppen sandsynligvis udnyttede enten en forsyningskædekompromittering eller et AitM-angreb til at distribuere trojanske versioner af betroet software, såsom Tencent QQ, mod en international NGO i det kinesiske fastland.
I august 2024 afslørede yderligere rapporter, at gruppen havde kompromitteret en unavngiven internetudbyder (ISP) og misbrugt forgiftede DNS-svar til at distribuere skadelige softwareopdateringer til udvalgte mål.
Et bredere økosystem af AitM-aktører tilknyttet Kina
Evasive Panda er en del af et bredere landskab af trusselsgrupper med tilknytning til Kina, der er afhængige af AitM-baseret forgiftning til levering og bevægelse af malware inden for netværk. Analytikere har identificeret mindst ti aktive grupper, der bruger lignende tilgange, hvilket understreger, at DNS-manipulation er blevet en foretrukken teknik inden for dette økosystem.
Våbenbesatte softwareopdateringer som lokkemidler
I de dokumenterede indbrud blev ofrene lokket med falske opdateringer, der udgav sig for at være legitim tredjepartssoftware. En fremtrædende lokkemiddel efterlignede opdateringer til SohuVA, en videostreamingapplikation fra den kinesiske teknologivirksomhed Sohu. Opdateringen syntes at stamme fra det legitime domæne p2p.hd.sohu.com[.]cn, hvilket stærkt tyder på, at DNS-forgiftning blev brugt til at omdirigere trafik til en ondsindet server, mens applikationen forsøgte at opdatere binære filer i sin standardmappe under appdata\roaming\shapp\7.0.18.0\package.
Forskere observerede også parallelle kampagner, der misbrugte falske opdateringsprogrammer til Baidus iQIYI Video, IObit Smart Defrag og Tencent QQ.
Flertrinslevering af nyttelast via betroede domæner
En vellykket udførelse af den falske opdatering førte til implementering af en initial loader, der startede shellcode. Denne shellcode hentede en krypteret anden-trins nyttelast forklædt som et PNG-billede, igen via DNS-forgiftning, denne gang ved misbrug af det legitime domæne dictionary.com.
Angriberne manipulerede DNS-opløsningen, så dictionary.com blev opløst til angriberstyrede IP-adresser, selektivt bestemt af offerets geografiske placering og internetudbyder. HTTP-anmodningen, der blev brugt til at hente denne nyttelast, omfattede offerets Windows-version, hvilket sandsynligvis gjorde det muligt for angriberne at skræddersy opfølgende handlinger til specifikke operativsystemversioner. Denne selektive målretning afspejler gruppens tidligere brug af "watering hole"-angreb, herunder distribution af macOS-malware kendt som MACMA.
Hvordan DNS-forgiftningen kan være blevet opnået
Selvom den præcise metode, der bruges til at forgifte DNS-svar, stadig er ubekræftet, mistænker efterforskerne to primære muligheder:
- Selektiv kompromittering af offerinternetudbydere, potentielt med netværksimplantater på edge-enheder for at manipulere DNS-trafik.
- Direkte kompromittering af routere eller firewalls i offermiljøer for at ændre DNS-svar lokalt.
Sofistikeret loaderkæde og brugerdefineret kryptering
Malwareleveringsprocessen i anden fase er bevidst kompleks. Den indledende shellcode dekrypterer og udfører en offerspecifik nyttelast, en tilgang, der menes at reducere detektion ved at generere en unik krypteret fil for hvert mål.
En sekundær indlæser, forklædt som libpython2.4.dll, er afhængig af at sideloade en omdøbt, forældet python.exe. Når den er udført, henter og dekrypterer den næste-fase-nyttelast ved at læse fra C:\ProgramData\Microsoft\eHome\perf.dat. Denne fil indeholder malware, der først blev XOR-krypteret, derefter dekrypteret og endelig krypteret igen ved hjælp af en brugerdefineret hybrid af Microsofts Data Protection API (DPAPI) og RC5-algoritmen. Dette design sikrer, at nyttelasten kun kan dekrypteres på det oprindelige offersystem, hvilket komplicerer aflytning og offlineanalyse betydeligt.
MgBot: Et diskret og kapabelt implantat
Efter dekryptering injiceres nyttelasten i en legitim svchost.exe-proces, der afslører sig selv som en variant af MgBot-bagdøren. Dette modulære implantat understøtter en bred vifte af spionagefunktioner, herunder:
- Filindsamling og -udrensning
- Tastetrykslogning og udklipsholderindsamling
- Lydoptagelse
- Tyveri af browserlagrede loginoplysninger
Disse funktioner gør det muligt for angriberne at opretholde langvarig, skjult adgang til kompromitterede systemer.
En udviklende og vedvarende trussel
Denne kampagne fremhæver Evasive Pandas fortsatte udvikling og tekniske sofistikering. Ved at kombinere DNS-forgiftning, efterligning af betroede brands, flerlags-loadere og systembundet kryptering demonstrerer gruppen en klar evne til at omgå forsvar, samtidig med at de opretholder vedvarende adgang til mål af høj værdi. Operationen forstærker behovet for stærkere DNS-sikkerhed, validering af forsyningskæden og overvågning af opdateringsmekanismer i følsomme miljøer.
