Un asociación de amenazas persistentes avanzadas (APT) vinculado a China ha sido atribuido a una campaña de ciberespionaje enormemente dirigida en la que el adversario envenenó el Sistema de Nombres de Dominio (DNS) solicita entregar su puerta trasera MgBot en ataques dirigidos a víctimas en Türkiye, China e India.
La actividad, dijo Kaspersky, se observó entre noviembre de 2022 y noviembre de 2024. Se ha vinculado a un asociación de piratería llamado Panda evasivoque se rastrea como Bronze Highland, Daggerfly y StormBamboo. Se estima que está activo desde al menos 2012.
“El asociación realizó principalmente ataques de adversario en el medio (AitM) contra víctimas específicas”, dijo el investigador de Kaspersky Fatih Şensoy en un examen profundo. “Estas incluían técnicas como colocar cargadores en ubicaciones específicas y juntar partes cifradas del malware en servidores controlados por atacantes, que se resolvieron como respuesta a solicitudes DNS de sitios web específicos”.
Esta no es la primera vez que las capacidades de envenenamiento de DNS de Evasive Panda salen a la luz. Ya en abril de 2023, ESET señaló que el actor de amenazas pudo ocurrir comprometido la condena de suministro o un ataque AitM para ofrecer versiones troyanizadas de aplicaciones legítimas como Tencent QQ en un ataque dirigido a una estructura no oficial (ONG) internacional en China continental.
En agosto de 2024, un mensaje de Volexity reveló cómo el actor de amenazas comprometió a un proveedor de servicios de Internet (ISP) desconocido mediante un ataque de envenenamiento de DNS para despachar actualizaciones de software ladino a objetivos de interés.
Evasive Panda es todavía uno de los muchos grupos de actividades de amenazas alineados con China que han dependido del envenenamiento de AitM para la distribución de malware. En un examen del mes pasado, ESET dijo que está rastreando 10 grupos activos de China que han trabajador la técnica para ataque auténtico o movimiento limítrofe, incluidos LuoYu, BlackTech, TheWizards APT, Blackwood, PlushDaemon y FontGoblin.
En los ataques documentados por Kaspersky, se descubrió que el actor de amenazas utiliza señuelos que se hacen tener lugar por actualizaciones de software de terceros, como SohuVA, un servicio de transmisión de video de la empresa china de Internet Sohu. La aggiornamento maliciosa se entrega desde el dominio “p2p.hd.sohu.com(.)cn”, lo que probablemente indica un ataque de envenenamiento de DNS.
“Existe la posibilidad de que los atacantes hayan utilizado un ataque de envenenamiento de DNS para alterar la respuesta DNS de p2p.hd.sohu.com(.)cn a la dirección IP de un servidor controlado por el atacante, mientras que el módulo de aggiornamento natural de la aplicación SohuVA intenta desempolvar sus archivos binarios ubicados en appdataroamingshapp7.0.18.0package”, explicó Şensoy.
El proveedor ruso de ciberseguridad dijo que todavía identificó otras campañas en las que Evasive Panda utilizó un actualizador apócrifo para iQIYI Video de Baidu, así como IObit Smart Defrag y Tencent QQ.
El ataque allana el camino para la implementación de un cargador auténtico que es responsable de iniciar el código shell que, a su vez, recupera un código shell enigmático de segunda etapa en forma de un archivo de imagen PNG, nuevamente mediante envenenamiento de DNS del diccionario del sitio web auténtico(.)com.
Se dice que Evasive Panda manipuló la dirección IP asociada con el diccionario(.)com, lo que provocó que los sistemas de las víctimas resolvieran el sitio web en una dirección IP controlada por el atacante en función de su ubicación geográfica y proveedor de servicios de Internet.
Actualmente no se sabe cómo el actor de amenazas está envenenando las respuestas de DNS. Pero se sospechan dos escenarios posibles: o los ISP utilizados por las víctimas fueron atacados selectivamente y comprometidos para instalar algún tipo de implante de red en los dispositivos periféricos, o un enrutador o firewall utilizado por las víctimas fue pirateado para este propósito.
La solicitud HTTP para obtener el código shell de segunda etapa todavía contiene el número de interpretación flagrante de Windows. Probablemente se trate de un intento por parte de los atacantes de apuntar a versiones específicas del sistema eficaz y adaptar su organización en función del sistema eficaz utilizado. Vale la pena señalar que Evasive Panda ha trabajador anteriormente los ataques de pila para distribuir un malware para Apple macOS con nombre en código MACMA.
La naturaleza exacta de la carga útil de la segunda etapa no está clara, pero el examen de Kaspersky muestra que el código shell de la primera etapa descifra y ejecuta la carga útil recuperada. Se evalúa que los atacantes generan un segundo archivo shellcode enigmático único para cada víctima como una forma de evitar la detección.
Un aspecto crucial de las operaciones es el uso de un cargador secundario (“libpython2.4.dll”) que se plinto en una interpretación antigua y renombrada de “python.exe” para descargar. Una vez iniciado, descarga y descifra el malware de próximo etapa leyendo el contenido de un archivo llamado “C:ProgramDataMicrosofteHomeperf.dat”. Este archivo contiene la carga útil descifrada descargada en el paso preliminar.
“Parece que el atacante utilizó un proceso complicado para obtener esta etapa de un apelación, donde inicialmente estaba enigmático con XOR”, dijo Kaspersky. “Luego, el atacante descifró esta etapa con XOR y luego la cifró y guardó en perf.dat utilizando un híbrido personalizado de la interfaz de programación de aplicaciones de protección de datos (DPAPI) de Microsoft y el cálculo RC5”.
El uso de un cálculo de enigmático personalizado se considera un intento de complicar el examen al asegurar que los datos cifrados solo puedan decodificarse en el sistema específico donde se realizó inicialmente el enigmático y cercar cualquier intento de interceptar y analizar la carga maliciosa.
El código descifrado es una variación de MgBot que el cargador secundario inyecta en un proceso auténtico “svchost.exe”. Un implante modular, MgBot, es capaz de resumir archivos, registrar pulsaciones de teclas, resumir datos del portapapeles, labrar transmisiones de audio y robar credenciales de navegadores web. Esto permite que el malware mantenga una presencia sigilosa en los sistemas comprometidos durante largos períodos de tiempo.
“El actor de amenazas Evasive Panda ha demostrado una vez más sus capacidades avanzadas, evadiendo medidas de seguridad con nuevas técnicas y herramientas mientras mantiene la persistencia a extenso plazo en los sistemas objetivo”, dijo Kaspersky.
