یک گروه تهدید پیشرفته (APT) منتسب به چین به نام Evasive Panda، در قالب یک کارزار جاسوسی سایبری هدفمند، با دستکاری پاسخهای DNS اقدام به توزیع درِ پشتی اختصاصی خود با نام MgBot کرده است. این حملات کاربران و سازمانهایی را در ترکیه، چین و هند هدف قرار دادهاند.
بهگزارش کسپرسکی، این فعالیتها در بازه زمانی نوامبر ۲۰۲۲ تا نوامبر ۲۰۲۴ از این گروه مشاهده شده است؛ این گروه که با شناسههای دیگری مانند Bronze Highland، Daggerfly و StormBamboo نیز ردیابی میشود و حداقل از سال ۲۰۱۲ فعال است.
استفاده از حملات مهاجم در میانه ارتباط (AitM) و دستکاری DNS
بهگفته فاتح شنسوی، پژوهشگر کسپرسکی، این گروه عمدتاً از حملات مهاجم در میانه ارتباط (Adversary-in-the-Middle – AitM) علیه قربانیان مشخص استفاده کرده است. در این روش، مهاجمان با دستکاری پاسخهای DNS، کاربران را به سرورهای تحت کنترل خود هدایت کرده و بدافزار را در قالب بهروزرسانی نرمافزارهای معتبر توزیع میکنند.
در این سناریو:
بارگذار اولیه در مسیرهای مشخصی از سیستم قربانی قرار میگیرد
بخشهای رمزگذاریشده بدافزار روی سرورهای مهاجم ذخیره میشود
پاسخ DNS دامنههای معتبر بهصورت هدفمند تغییر داده میشود
سابقه استفاده Evasive Panda از دستکاری DNS
این نخستین بار نیست که تواناییهای Evasive Panda در دستکاری پاسخهای DNS افشا میشود.
در آوریل ۲۰۲۳، شرکت ESET گزارش داد که این گروه احتمالاً از طریق حمله نفوذگر در میانه ارتباط یا نفوذ به زنجیره تأمین، نسخههای آلودهای از نرمافزارهایی مانند Tencent QQ را علیه یک سازمان غیردولتی بینالمللی در چین توزیع کرده است.
همچنین در آگوست ۲۰۲۴، گزارش Volexity نشان داد که این گروه با نفوذ به یک ارائهدهنده خدمات اینترنت (ISP) ناشناس، از دستکاری DNS در سطح زیرساخت برای ارسال بهروزرسانیهای مخرب استفاده کرده است.
الگویی گسترده در تهدیدات منتسب به چین
Evasive Panda تنها گروه چینی نیست که از این روش بهره میبرد. طبق گزارش اخیر ESET، حداقل ۱۰ گروه فعال منتسب به چین از تکنیکهای AitM و دستکاری DNS برای دسترسی اولیه یا حرکت جانبی استفاده کردهاند؛ از جمله:
LuoYu، BlackTech، TheWizards APT، Blackwood، PlushDaemon و FontGoblin
زنجیره آلودگی چندمرحلهای
این حمله شامل چند مرحله پیچیده است:
بارگذار اولیه، شلکدی را اجرا میکند
شلکد، محموله رمزگذاریشده مرحله دوم را در قالب یک فایل PNG دریافت میکند
این دریافت نیز از طریق دستکاری DNS دامنهای معتبر مانند dictionary[.]com انجام میشود
پاسخ DNS بر اساس موقعیت جغرافیایی و ISP قربانی تغییر میکند
در درخواست HTTP، نسخه ویندوز قربانی نیز ارسال میشود؛ نشانهای از هدفگیری تطبیقی بر اساس سیستمعامل.
بارگذار ثانویه و رمزنگاری سفارشی
بارگذار ثانویه با نام libpython2.4.dll از طریق بارگذاری جانبی و با استفاده از نسخهای قدیمی و تغییرنامدادهشده از python.exe اجرا میشود.
در این مرحله:
محموله رمزگذاریشده از فایل
C:\ProgramData\Microsoft\eHome\perf.dat
خوانده میشودداده ابتدا با XOR رمزگشایی شده
سپس با ترکیبی سفارشی از DPAPI مایکروسافت و الگوریتم RC5 مجدداً رمزگذاری میشود
این طراحی باعث میشود داده فقط روی همان سیستم قربانی قابل رمزگشایی باشد و تحلیل یا رهگیری آن بهشدت دشوار شود.
MgBot؛ درِ پشتی ماژولار و پایدار
در نهایت، کد رمزگشاییشده نسخهای از MgBot است که به درون فرایند قانونی svchost.exe تزریق میشود.
MgBot یک بدافزار ماژولار با قابلیتهای زیر است:
سرقت فایل
ثبت کلیدهای فشردهشده
جمعآوری دادههای کلیپبورد
ضبط صدا
سرقت اطلاعات مرورگرها
این قابلیتها به مهاجم امکان حضور مخفیانه و بلندمدت در سیستمهای آلوده را میدهد.
جمعبندی Vulnerbyte
تحلیل این کارزار نشان میدهد که دستکاری پاسخهای DNS همچنان یکی از خطرناکترین و کمتشخیصترین روشهای توزیع بدافزار در سطح ملی و سازمانی است.
گروه Evasive Panda بار دیگر نشان داد که با ترکیب AitM، رمزنگاری سفارشی و زنجیره آلودگی چندمرحلهای، قادر است از بسیاری از کنترلهای امنیتی عبور کند و پایداری بلندمدت ایجاد نماید.
