The Last 24 Hours | 安全无小事
与中国关联的“规避熊猫”发起 DNS 投毒行动以投送 MgBot 恶意软件
一家与中国关联的高级持续性威胁(APT)组织被归因于一次高度针对性的网络间谍行动,攻击者通过投毒域名系统(DNS)请求,将其标志性的 MgBot 后门植入针对土耳其、中国和印度受害者的攻击中。
Kaspersky 表示,此活动在 2022 年 11 月至 2024 年 11 月期间被观察到。它与名为
Kaspersky 研究员 Fatih Şensoy 在深度分析中指出,该组织主要对特定受害者实施“对手在中间”(AitM)攻击。其中包括将加载器投放至特定位置、在攻击者控制的服务器上存储加密的恶意软件片段,并通过对特定网站的 DNS 请求响应来完成投送。
这并非规避熊猫首次展现 DNS 投毒能力。早在 2023 年 4 月,ESET 曾指出该威胁组织可能通过供应链妥协或 AitM 攻击,向中国大陆的一个国际非政府组织投放了被木马化的腾讯 QQ 等合法应用。
2024 年 8 月,Volexity 报告称该威胁组织通过 DNS 投毒攻击入侵一家未具名的互联网服务提供商(ISP),向感兴趣的目标推送恶意软件更新。
规避熊猫也是众多与中国相关的威胁活动集群之一,这些集群依赖 AitM 投毒进行恶意软件分发。ESET 在上月的分析中称,已有 10 个活跃的中国组织利用该技术实现初始访问或横向移动,其中包括 LuoYu、BlackTech、TheWizards APT、Blackwood、PlushDaemon 与 FontGoblin。
在 Kaspersky 记录的攻击中,攻击者使用伪装成第三方软件更新的诱饵,例如来自中国互联网公司搜狐的视频流媒体服务 SohuVA。恶意更新从域名 “p2p.hd.sohu.com[.]cn” 交付,显然是一次 DNS 投毒。
研究员解释称,攻击者可能通过 DNS 投毒将 p2p.hd.sohu.com[.]cn 的 DNS 响应改写为攻击者控制的服务器 IP 地址,而真实的 SohuVA 更新模块则尝试更新位于 appdataoaming\shapp\7.0.18.0\package 的二进制文件。
俄罗斯安全厂商还发现其他攻击活动,其中规避熊猫利用假冒的百度 iQIYI 视频、IObit Smart Defrag 与腾讯 QQ 更新进行投送。
该攻击为后续加载器的部署铺平道路,加载器负责启动 shellcode,进而通过 DNS 投毒从合法站点 dictionary[.]com 获取加密的第二阶段 shellcode(以 PNG 图像文件形式)。
规避熊猫据称操控了 dictionary[.]com 关联的 IP 地址,使受害系统根据其地理位置和 ISP 将该站点解析到攻击者控制的 IP。
目前尚不清楚攻击者如何投毒 DNS 响应。可能的两种情形是:受害者使用的 ISP 被有针对性地攻击并植入网络植入物,或受害者使用的路由器/防火墙被入侵用于此目的。
获取第二阶段 shellcode 的 HTTP 请求还携带当前 Windows 版本号,表明攻击者尝试针对特定操作系统版本并相应调整策略。值得注意的是,规避熊猫此前也利用水坑攻击分发代号为 MACMA 的 macOS 恶意软件。
第二阶段恶意软件的具体性质尚不明确,但 Kaspersky 的分析显示,第一阶段 shellcode 会解密并运行获取的载荷。评估认为攻击者为每个受害者生成唯一的加密第二阶段文件,以规避检测。
该操作的关键环节是使用名为 “libpython2.4.dll” 的二级加载器,它依赖于已改名的旧版 “python.exe” 进行侧加载。加载器启动后会读取位于 C:\ProgramData\Microsoft\eHome\perf.dat 的文件内容,下载并解密下一阶段恶意软件。该文件保存了从前一步骤下载的已解密载荷。
Kaspersky 表示,“攻击者先以 XOR 加密方式获取该阶段资源,然后使用 XOR 解密,再采用微软数据保护 API(DPAPI)与 RC5 算法的混合自定义加密将其保存至 perf.dat”。
自定义加密算法的使用旨在通过仅在最初加密的特定系统上解密数据,来提升分析难度并阻止外部拦截与分析。
解密后的代码是一款 MgBot 变体,由二级加载器注入合法的 “svchost.exe” 进程。MgBot 是模块化植入工具,具备文件窃取、键盘记录、剪贴板采集、音频流录制以及浏览器凭据窃取等功能,能够在受感染系统中长期保持隐蔽存在。
Kaspersky 评价称:“规避熊猫再次展示了其高级能力,通过新技术与工具规避安全防护,并在受害系统中保持长期持久性”。