Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Backdoors Backdoor do MgBot

Backdoor do MgBot

Por Mezo em Backdoors, Ameaça Persistente Avançada (APT)
Traduzir Para:

Uma sofisticada operação de ameaça persistente avançada (APT, na sigla em inglês), alinhada à China, foi atribuída a uma longa campanha de ciberespionagem que abusou da infraestrutura do Sistema de Nomes de Domínio (DNS) para distribuir o backdoor MgBot. A campanha teve como alvo vítimas cuidadosamente selecionadas na Turquia, China e Índia, e permaneceu ativa de novembro de 2022 a novembro de 2024.

O adversário por trás da operação

A atividade foi associada ao grupo de ameaças conhecido como Evasive Panda, também rastreado sob os nomes Bronze Highland, Daggerfly e StormBamboo. Estima-se que esse grupo esteja em operação desde pelo menos 2012 e é conhecido por intrusões altamente direcionadas, em vez de ataques amplos e oportunistas.

A tática do adversário no meio como elemento central

No cerne da campanha estava o uso de técnicas de ataque do tipo "adversário no meio" (AitM). Os atacantes manipulavam as respostas de DNS para que as vítimas fossem redirecionadas silenciosamente para infraestruturas sob seu controle. Carregadores de malware eram colocados em locais de arquivos específicos, enquanto componentes criptografados eram hospedados em servidores controlados pelos atacantes e entregues somente em resposta a consultas de DNS específicas vinculadas a sites legítimos.

Um padrão de abuso de envenenamento de DNS

Esta campanha não é um caso isolado. O grupo Evasive Panda demonstrou repetidamente expertise em envenenamento de DNS. Pesquisas anteriores destacaram táticas semelhantes em abril de 2023, quando o grupo provavelmente explorou uma vulnerabilidade na cadeia de suprimentos ou um ataque AitM para distribuir versões trojanizadas de softwares confiáveis, como o Tencent QQ, contra uma ONG internacional na China continental.

Em agosto de 2024, novas informações revelaram que o grupo havia comprometido um provedor de serviços de internet (ISP) não identificado, abusando de respostas DNS envenenadas para distribuir atualizações de software maliciosas para alvos selecionados.

Um ecossistema mais amplo de atores da IA alinhados com a China

O grupo Evasive Panda faz parte de um cenário mais amplo de ameaças cibernéticas alinhadas à China que dependem de envenenamento baseado em AitM para distribuição e movimentação de malware em redes. Analistas identificaram pelo menos dez grupos ativos usando abordagens semelhantes, o que demonstra que a manipulação de DNS se tornou uma técnica comum nesse ecossistema.

Atualizações de software usadas como isca, transformadas em armas.

Nos ataques documentados, as vítimas foram atraídas com atualizações falsas disfarçadas de software legítimo de terceiros. Uma isca comum se passava por atualização do SohuVA, um aplicativo de streaming de vídeo da empresa chinesa de tecnologia Sohu. A atualização parecia originar-se do domínio legítimo p2p.hd.sohu.com[.]cn, sugerindo fortemente que um ataque de envenenamento de DNS foi usado para redirecionar o tráfego para um servidor malicioso enquanto o aplicativo tentava atualizar binários em seu diretório padrão em appdata\roaming\shapp\7.0.18.0\package.

Os pesquisadores também observaram campanhas paralelas que abusavam de atualizadores falsos para o iQIYI Video da Baidu, o IObit Smart Defrag e o Tencent QQ.

Entrega de carga útil em múltiplos estágios por meio de domínios confiáveis

A execução bem-sucedida da atualização falsa levou à implantação de um carregador inicial que executou um shellcode. Esse shellcode recuperou uma carga útil criptografada de segundo estágio, disfarçada de imagem PNG, novamente por meio de envenenamento de DNS, desta vez abusando do domínio legítimo dictionary.com.

Os atacantes manipularam a resolução de DNS para que o domínio dictionary.com fosse redirecionado para endereços IP controlados por eles, determinados seletivamente com base na localização geográfica e no provedor de internet da vítima. A requisição HTTP usada para obter o payload incluía a versão do Windows da vítima, provavelmente permitindo que os atacantes direcionassem ações subsequentes para versões específicas do sistema operacional. Essa segmentação seletiva remete ao uso anterior de ataques de watering hole pelo grupo, incluindo a distribuição do malware para macOS conhecido como MACMA.

Como o envenenamento de DNS pode ter sido realizado

Embora o método preciso usado para envenenar as respostas do DNS permaneça sem confirmação, os investigadores suspeitam de duas possibilidades principais:

  • Comprometimento seletivo de ISPs vítimas, potencialmente envolvendo implantes de rede em dispositivos de borda para manipular o tráfego DNS.
  • Comprometimento direto de roteadores ou firewalls em ambientes de vítimas para alterar respostas de DNS localmente.

Cadeia de carregamento sofisticada e criptografia personalizada

O processo de entrega de malware da segunda etapa é propositalmente complexo. O shellcode inicial descriptografa e executa uma carga útil específica para a vítima, uma abordagem que se acredita reduzir a detecção, gerando um arquivo criptografado exclusivo para cada alvo.

Um carregador secundário, disfarçado de libpython2.4.dll, depende da instalação manual de um python.exe renomeado e desatualizado. Uma vez executado, ele recupera e descriptografa a carga útil da próxima etapa, lendo o arquivo C:\ProgramData\Microsoft\eHome\perf.dat. Este arquivo contém malware que foi primeiro criptografado com XOR, depois descriptografado e, finalmente, criptografado novamente usando uma combinação personalizada da API de Proteção de Dados da Microsoft (DPAPI) e do algoritmo RC5. Esse design garante que a carga útil só possa ser descriptografada no sistema original da vítima, o que dificulta significativamente a interceptação e a análise offline.

MgBot: Um Implante Discreto e Eficaz

Após a descriptografia, a carga útil é injetada em um processo legítimo svchost.exe, revelando-se como uma variante do backdoor MgBot. Este implante modular suporta uma ampla gama de funções de espionagem, incluindo:

  • Coleta e exfiltração de arquivos
  • Registro de teclas digitadas e coleta de dados da área de transferência
  • Gravação de áudio
  • Roubo de credenciais armazenadas no navegador

Essas capacidades permitem que os atacantes mantenham acesso secreto e de longo prazo a sistemas comprometidos.

Uma ameaça em constante evolução e persistente

Esta campanha destaca a contínua evolução e sofisticação técnica do Evasive Panda. Combinando envenenamento de DNS, falsificação de identidade de marcas confiáveis, carregadores multicamadas e criptografia vinculada ao sistema, o grupo demonstra uma clara capacidade de burlar defesas, mantendo acesso persistente a alvos de alto valor. A operação reforça a necessidade de maior segurança de DNS, validação da cadeia de suprimentos e monitoramento dos mecanismos de atualização em ambientes sensíveis.

Tendendo

Mais visto

Carregando...