Một nhóm tấn công dai dẳng nâng cao (APT) liên kết với Trung Quốc đã bị cáo buộc thực hiện một chiến dịch gián điệp mạng có mục tiêu cao, trong đó kẻ tấn công làm nhiễm độc các yêu cầu Hệ thống Tên miền (DNS) để phát tán backdoor MgBot đặc trưng của chúng trong các cuộc tấn công nhắm vào các nạn nhân ở Thổ Nhĩ Kỳ, Trung Quốc và Ấn Độ.
Hoạt động này, theo Kaspersky, được quan sát từ tháng 11 năm 2022 đến tháng 11 năm 2024. Nó được liên kết với một nhóm tin tặc có tên là Evasive Panda, còn được theo dõi dưới các tên Bronze Highland, Daggerfly và StormBamboo. Nhóm này được đánh giá là hoạt động từ ít nhất năm 2012.
Nhà nghiên cứu Fatih Şensoy của Kaspersky cho biết trong một phân tích chuyên sâu: "Nhóm này chủ yếu thực hiện các cuộc tấn công adversary-in-the-middle (AitM) nhắm vào các nạn nhân cụ thể. Các kỹ thuật này bao gồm việc thả các loader vào các vị trí cụ thể và lưu trữ các phần mã độc được mã hóa trên các máy chủ do kẻ tấn công kiểm soát, được phân giải như một phản hồi đối với các yêu cầu DNS của trang web cụ thể."
Đây không phải là lần đầu tiên khả năng DNS poisoning của Evasive Panda được đưa ra ánh sáng. Ngay từ tháng 4 năm 2023, ESET đã ghi nhận rằng nhóm tác nhân đe dọa này có thể đã thực hiện một cuộc tấn công chuỗi cung ứng (supply chain compromise) hoặc một cuộc tấn công AitM để phát tán các phiên bản bị lây nhiễm (trojanized) của các ứng dụng hợp pháp như Tencent QQ trong một cuộc tấn công nhắm vào một tổ chức phi chính phủ quốc tế (NGO) ở Trung Quốc đại lục.
Vào tháng 8 năm 2024, một báo cáo từ Volexity tiết lộ cách nhóm tác nhân đe dọa đã xâm nhập một nhà cung cấp dịch vụ internet (ISP) không tên bằng một cuộc tấn công DNS poisoning để đẩy các bản cập nhật phần mềm độc hại đến các mục tiêu quan tâm.
Evasive Panda cũng là một trong nhiều nhóm hoạt động đe dọa liên kết với Trung Quốc đã dựa vào AitM poisoning để phân phối mã độc. Trong một phân tích vào tháng trước, ESET cho biết họ đang theo dõi 10 nhóm hoạt động từ Trung Quốc đã tận dụng kỹ thuật này để truy cập ban đầu hoặc di chuyển ngang, bao gồm LuoYu, BlackTech, TheWizards APT, Blackwood, PlushDaemon và FontGoblin.
Mục tiêu và phương pháp tấn công
Trong các cuộc tấn công được Kaspersky ghi lại, tác nhân đe dọa đã bị phát hiện sử dụng các mồi nhử ngụy trang dưới dạng các bản cập nhật phần mềm của bên thứ ba, chẳng hạn như SohuVA, một dịch vụ truyền phát video từ công ty internet Sohu của Trung Quốc. Bản cập nhật độc hại được phân phối từ miền "p2p.hd.sohu.com[.]cn", rất có thể chỉ ra một cuộc tấn công DNS poisoning.
Şensoy giải thích: "Có khả năng những kẻ tấn công đã sử dụng một cuộc tấn công DNS poisoning để thay đổi phản hồi DNS của p2p.hd.sohu.com[.]cn thành địa chỉ IP của một máy chủ do kẻ tấn công kiểm soát, trong khi mô-đun cập nhật chính hãng của ứng dụng SohuVA cố gắng cập nhật các tệp nhị phân của nó nằm trong appdata\roaming\shapp\7.0.18.0\package."
Nhà cung cấp an ninh mạng của Nga cho biết họ cũng xác định các chiến dịch khác trong đó Evasive Panda đã sử dụng một trình cập nhật giả mạo cho iQIYI Video của Baidu, cũng như IObit Smart Defrag và Tencent QQ.
Cuộc tấn công mở đường cho việc triển khai một loader ban đầu có nhiệm vụ khởi chạy shellcode, sau đó shellcode này lại tìm nạp một shellcode giai đoạn hai được mã hóa dưới dạng tệp hình ảnh PNG, một lần nữa thông qua DNS poisoning từ trang web hợp pháp dictionary[.]com.
Evasive Panda được cho là đã thao túng địa chỉ IP liên quan đến dictionary[.]com, khiến các hệ thống nạn nhân phân giải trang web này thành địa chỉ IP do kẻ tấn công kiểm soát dựa trên vị trí địa lý và nhà cung cấp dịch vụ internet của họ.
Hiện tại vẫn chưa rõ cách tác nhân đe dọa này làm nhiễm độc các phản hồi DNS. Nhưng có hai kịch bản có thể xảy ra: một là các ISP mà nạn nhân sử dụng đã bị nhắm mục tiêu và xâm nhập có chọn lọc để cài đặt một số loại implant mạng trên các thiết bị biên, hoặc một router hoặc firewall mà nạn nhân sử dụng đã bị hack cho mục đích này.
Yêu cầu HTTP để lấy shellcode giai đoạn hai cũng chứa số phiên bản Windows hiện tại. Đây có thể là một nỗ lực từ phía kẻ tấn công để nhắm mục tiêu các phiên bản hệ điều hành cụ thể và điều chỉnh chiến lược của chúng dựa trên hệ điều hành được sử dụng. Điều đáng chú ý là Evasive Panda trước đây đã tận dụng các cuộc tấn công watering hole để phân phối một mã độc macOS của Apple có tên mã là MACMA.
Bản chất chính xác của payload giai đoạn hai vẫn chưa rõ ràng, nhưng phân tích của Kaspersky cho thấy shellcode giai đoạn một giải mã và chạy payload đã truy xuất. Người ta đánh giá rằng những kẻ tấn công tạo một tệp shellcode giai đoạn hai được mã hóa duy nhất cho mỗi nạn nhân như một cách để vượt qua việc phát hiện.
Chi tiết kỹ thuật của mã độc MgBot
Một khía cạnh quan trọng của các hoạt động là việc sử dụng một loader phụ ("libpython2.4.dll") dựa vào một phiên bản "python.exe" cũ, đã được đổi tên để sideload. Sau khi khởi chạy, nó tải xuống và giải mã mã độc giai đoạn tiếp theo bằng cách đọc nội dung của một tệp có tên "C:\ProgramData\Microsoft\eHome\perf.dat." Tệp này chứa payload đã được giải mã được tải xuống từ bước trước đó.
Kaspersky cho biết: "Có vẻ như kẻ tấn công đã sử dụng một quy trình phức tạp để lấy giai đoạn này từ một tài nguyên, nơi nó ban đầu được mã hóa XOR. Kẻ tấn công sau đó giải mã giai đoạn này bằng XOR và sau đó mã hóa và lưu nó vào perf.dat bằng cách sử dụng một hỗn hợp tùy chỉnh của Data Protection Application Programming Interface (DPAPI) của Microsoft và thuật toán RC5."
Việc sử dụng thuật toán mã hóa tùy chỉnh được coi là một nỗ lực để làm phức tạp việc phân tích bằng cách đảm bảo rằng dữ liệu được mã hóa chỉ có thể được giải mã trên hệ thống cụ thể nơi mã hóa được thực hiện ban đầu và chặn mọi nỗ lực chặn và phân tích payload độc hại.
Mã đã giải mã là một biến thể của MgBot được loader phụ đưa vào một tiến trình "svchost.exe" hợp pháp. Là một implant mô-đun, MgBot có khả năng thu thập tệp, ghi lại tổ hợp phím (logging keystrokes), thu thập dữ liệu bảng tạm (clipboard data), ghi lại luồng âm thanh và đánh cắp thông tin đăng nhập từ các trình duyệt web. Điều này cho phép mã độc duy trì sự hiện diện lén lút trong các hệ thống bị xâm nhập trong thời gian dài.
Kaspersky cho biết: "Tác nhân đe dọa Evasive Panda một lần nữa thể hiện khả năng tiên tiến của mình, né tránh các biện pháp bảo mật bằng các kỹ thuật và công cụ mới đồng thời duy trì sự tồn tại lâu dài trong các hệ thống bị nhắm mục tiêu."
