Easive Panda APT Χρησιμοποιώντας AitM Attack και DNS Poisoning για την παράδοση κακόβουλου λογισμικού

Η ομάδα Evasive Panda APT, γνωστή και ως Bronze Highland, Daggerfly και StormBamboo, εκτελεί στοχευμένες καμπάνιες από τον Νοέμβριο του 2022, χρησιμοποιώντας προηγμένες τεχνικές για την παράδοση του κακόβουλου λογισμικού MgBot.

Η ομάδα χρησιμοποιεί επιθέσεις αντιπάλου στη μέση σε συνδυασμό με δηλητηρίαση DNS για να θέσει σε κίνδυνο συγκεκριμένα θύματα σε πολλούς κλάδους. Πρόσφατα ευρήματα δείχνουν ότι αυτές οι λειτουργίες συνεχίστηκαν μέχρι τον Νοέμβριο του 2024, επηρεάζοντας χρήστες στην Τουρκία, την Κίνα και την Ινδία.

Οι φορείς απειλών συγκαλύπτουν τα κακόβουλα εκτελέσιμα αρχεία τους ως νόμιμες ενημερώσεις λογισμικού για δημοφιλείς εφαρμογές όπως το SohuVA, το iQIYI Video, το IObit Smart Defrag και το Tencent QQ.

Όταν οι χρήστες προσπαθούν να πραγματοποιήσουν λήψη ενημερώσεων, οι εισβολείς χειραγωγούν τις αποκρίσεις DNS για να ανακατευθύνουν την κυκλοφορία στους διακομιστές που ελέγχουν. Το κακόβουλο πακέτο, με το όνομα sohuva_update_10.2.29.1-lup-s-tp.exe, εμφανίζεται ως γνήσια ενημέρωση αλλά παρέχει κακόβουλο λογισμικό από έναν πόρο που ελέγχεται από τους εισβολείς.

Securelist ερευνητές αναγνωρισθείς ότι οι εισβολείς χρησιμοποίησαν επίθεση δηλητηρίασης DNS για να αλλάξουν την απόκριση DNS του p2p.hd.sohu.com[.]cn στη διεύθυνση IP ενός διακομιστή που ελέγχεται από τον εισβολέα.

Αυτή η τεχνική παρεμποδίζει τα νόμιμα αιτήματα ενημέρωσης και αντ’ αυτού παραδίδει κακόβουλα ωφέλιμα φορτία. Η ομάδα αποθηκεύει κρυπτογραφημένα μέρη κακόβουλου λογισμικού στους διακομιστές της, τα οποία επιλύονται ως απαντήσεις σε συγκεκριμένα αιτήματα DNS ιστότοπων, καθιστώντας δύσκολη την ανίχνευση.

Ο αρχικός φορτωτής αποκρυπτογραφεί τη διαμόρφωσή του χρησιμοποιώντας έναν αλγόριθμο αποκρυπτογράφησης που βασίζεται σε XOR. Ελέγχει το συνδεδεμένο όνομα χρήστη και εάν το όνομα χρήστη είναι ΣΥΣΤΗΜΑ, το κακόβουλο λογισμικό αντιγράφει τον εαυτό του με διαφορετικό όνομα προσθέτοντας το επίθημα ext.exe.

Στη συνέχεια, ο φορτωτής αποκρυπτογραφεί έναν κέλυφος 9.556 byte χρησιμοποιώντας ένα κλειδί XOR ενός byte και τον αποθηκεύει στην ενότητα .data.

Δεδομένου ότι αυτή η ενότητα δεν διαθέτει άδεια εκτέλεσης, το κακόβουλο λογισμικό χρησιμοποιεί το VirtualProtect API για να αλλάξει τα δικαιώματα της ενότητας, επιτρέποντας στον κώδικα κελύφους να εκτελείται χωρίς να ενεργοποιεί ειδοποιήσεις ασφαλείας.

Μηχανισμός μόλυνσης και υβριδική κρυπτογράφηση

Η ομάδα Evasive Panda χρησιμοποιεί μια διαδικασία μόλυνσης πολλαπλών σταδίων με υβριδική κρυπτογράφηση για να κάνει την ανάλυση πιο δύσκολη. Ο shellcode πρώτου σταδίου αναζητά ένα συγκεκριμένο αρχείο DAT στον κατάλογο εγκατάστασης του κακόβουλου λογισμικού.

Εάν βρεθεί, αποκρυπτογραφεί το αρχείο χρησιμοποιώντας το CryptUnprotectData API, το οποίο διασφαλίζει ότι τα δεδομένα μπορούν να αποκρυπτογραφηθούν μόνο στο μολυσμένο μηχάνημα. Μετά την αποκρυπτογράφηση, ο shellcode διαγράφει το αρχείο για να αφαιρέσει τα ίχνη της επίθεσης.

Εάν το αρχείο DAT δεν υπάρχει, ο shellcode πραγματοποιεί λήψη κρυπτογραφημένων δεδομένων από το λεξικό[.]com, το οποίο φαίνεται νόμιμο αλλά έχει παραβιαστεί μέσω δηλητηρίασης DNS.

Οι εισβολείς χειραγωγούν τη διεύθυνση IP που σχετίζεται με αυτόν τον ιστότοπο, αναγκάζοντας τα συστήματα των θυμάτων να την επιλύσουν σε διαφορετικές διευθύνσεις IP που ελέγχονται από τους εισβολείς με βάση τη γεωγραφική τοποθεσία.

Το κακόβουλο λογισμικό ανακτά έναν κέλυφος δεύτερου σταδίου μεταμφιεσμένο σε αρχείο PNG. Αυτό το ωφέλιμο φορτίο χρησιμοποιεί μια προσαρμοσμένη υβριδική κρυπτογράφηση που συνδυάζει το API προστασίας δεδομένων της Microsoft και τον αλγόριθμο RC5.

Το κλειδί κρυπτογράφησης RC5 κρυπτογραφείται χρησιμοποιώντας DPAPI και αποθηκεύεται στα πρώτα 16 byte του perf.dat, ενώ ακολουθεί το ωφέλιμο φορτίο με κρυπτογράφηση RC5. Για την αποκρυπτογράφηση, το κρυπτογραφημένο κλειδί RC5 αποκρυπτογραφείται πρώτα με το DPAPI και στη συνέχεια χρησιμοποιείται για την αποκρυπτογράφηση των υπόλοιπων περιεχομένων του αρχείου.

Ο δευτερεύων φορτωτής, libpython2.4.dll, βασίζεται σε ένα νόμιμο υπογεγραμμένο εκτελέσιμο με το όνομα evteng.exe για την επίτευξη μυστικής φόρτωσης μέσω πλευρικής φόρτωσης DLL.

Μετά την αποκρυπτογράφηση, το κακόβουλο λογισμικό εγχέει το εμφύτευμα MgBot στη νόμιμη διαδικασία svchost.exe, επιτρέποντάς του να διατηρήσει την επιμονή αποφεύγοντας τον εντοπισμό.

Η διαμόρφωση περιλαμβάνει ονόματα καμπανιών, κωδικοποιημένες διευθύνσεις IP διακομιστή εντολών και ελέγχου και κλειδιά κρυπτογράφησης, ενώ ορισμένοι διακομιστές παραμένουν ενεργοί για πολλά χρόνια.