Un grupo de Amenaza Persistente Avanzada (APT) vinculado a China ha sido implicado en operaciones de ciberespionaje dirigidas. En esta campaña, los adversarios comprometieron los sistemas de nombres de dominio (DNS) y solicitaron la entrega de su puerta trasera MgBot en ataques dirigidos a víctimas en Turkiye, China e India.
Kaspersky dijo que la actividad se observó desde noviembre de 2022 hasta noviembre de 2024. Se dice que la actividad está asociada con un grupo de piratería llamado Evasive Panda, al que se rastrea como Bronze Highland, Daggerfly y StormBamboo. Se cree que ha estado activo desde al menos 2012.
«El grupo llevó a cabo principalmente ataques de intermediario (AitM) contra víctimas específicas», dijo en un análisis detallado el investigador de Kaspersky Fatih Shensoy. «Estas incluían técnicas para colocar cargadores en ubicaciones específicas o almacenar partes cifradas del malware en servidores controlados por atacantes, que se resolvieron en respuesta a solicitudes de DNS para sitios web específicos».
Esta no es la primera vez que salen a la luz las capacidades de envenenamiento de DNS de Evasive Panda. ESET señaló que en los ataques dirigidos a organizaciones no gubernamentales (ONG) internacionales en China continental que se remontan a abril de 2023, los actores de amenazas pueden haber comprometido la cadena de suministro o ataques AitM para proporcionar versiones troyanizadas de aplicaciones legítimas como Tencent QQ.
En agosto de 2024, un informe de Volexity reveló cómo los atacantes pueden utilizar ataques de envenenamiento de DNS para comprometer proveedores de servicios de Internet (ISP) anónimos y enviar actualizaciones de software malicioso a sus objetivos previstos.
Evasive Panda es también uno de los muchos grupos de actividades de amenazas alineados con China que dependen del envenenamiento de AitM para distribuir malware. En un análisis del mes pasado, ESET dijo que estaba rastreando 10 grupos chinos activos que explotaban la tecnología para el acceso inicial y el movimiento lateral, incluidos LuoYu, BlackTech, TheWizards APT, Blackwood, PlushDaemon y Font Goblin.
Los ataques documentados por Kaspersky Lab han encontrado actores de amenazas que utilizan señuelos disfrazados de actualizaciones de software de terceros, como SohuVA, el servicio de transmisión de video de la empresa china de Internet Sohu. Esta actualización maliciosa proviene del dominio p2p.hd.sohu.com(.)cn y probablemente indica un ataque de envenenamiento de DNS.
«Mientras el módulo de actualización legítimo de la aplicación SohuVA intentaba actualizar los archivos binarios ubicados en appdata\roaming\shapp\7.0.18.0\package, el atacante puede haber utilizado un ataque de envenenamiento de DNS para cambiar la respuesta DNS de p2p.hd.sohu.com(.)cn a la dirección IP de un servidor controlado por el atacante», explicó Şensoy.
El proveedor ruso de ciberseguridad dijo que Evasive Panda también identificó otras campañas que utilizaban actualizadores falsos de iQIYI Video, IObit Smart Defrag y Tencent QQ de Baidu.
Este ataque allana el camino para la implementación de un cargador inicial responsable de iniciar el código shell, que luego obtiene el código shell cifrado de segunda etapa en forma de un archivo de imagen PNG mediante envenenamiento de DNS, también del sitio web legítimo Dictionary(.)com.
Evasive Panda supuestamente manipuló las direcciones IP asociadas con el diccionario(.)com, lo que provocó que los sistemas de las víctimas resolvieran los sitios web en direcciones IP controladas por el atacante en función de su ubicación geográfica y proveedor de servicios de Internet.
En este momento, no está claro cómo el atacante está envenenando las respuestas DNS. Sin embargo, hay dos escenarios posibles. Una es que el ISP de la víctima fue atacado y comprometido selectivamente y se instaló algún tipo de implante de red en el dispositivo perimetral, o que el enrutador o firewall de la víctima fue pirateado para este propósito.
La solicitud HTTP para recuperar el código shell de la segunda etapa también incluye el número de versión actual de Windows. Esto podría ser un intento del atacante de apuntar a versiones específicas del sistema operativo y adaptar su estrategia en función del sistema operativo utilizado. Vale la pena señalar que Evasive Panda ha utilizado anteriormente ataques de abrevadero para distribuir malware para Apple macOS con nombre en código MACMA.
Se desconoce la naturaleza exacta de la carga útil de la segunda etapa, pero el análisis de Kaspersky Lab indica que el código shell de la primera etapa descifra y ejecuta la carga útil recuperada. Se ha evaluado que los atacantes generan un segundo archivo shellcode cifrado que es único para cada víctima como forma de evadir la detección.
Un aspecto clave de esta operación es el uso de un cargador secundario (‘libpython2.4.dll’) que se basa en una versión anterior renombrada de ‘python.exe’ que se descarga. Una vez iniciado, lee el contenido de un archivo llamado «C:\ProgramData\Microsoft\eHome\perf.dat» para descargar y descifrar la siguiente etapa del malware. Este archivo contiene la carga útil descifrada descargada en el paso anterior.
«Los atacantes parecen haber utilizado un proceso complejo para obtener esta etapa de recursos que inicialmente estaban cifrados con XOR», dijo Kaspersky. «Luego, el atacante descifró esta etapa con XOR, luego la cifró utilizando un híbrido personalizado de la interfaz de programación de aplicaciones de protección de datos (DPAPI) de Microsoft y el algoritmo RC5 y lo almacenó en perf.dat».
El uso de algoritmos de cifrado personalizados se considera un intento de complicar el análisis al garantizar que los datos cifrados solo puedan descifrarse en el sistema específico en el que se realizó originalmente el cifrado, bloqueando cualquier intento de interceptar y analizar la carga maliciosa.
El código descifrado es una variante de MgBot que un cargador secundario inyecta en el proceso legítimo «svchost.exe». MgBot, un implante modular, puede recopilar archivos, registrar pulsaciones de teclas, recopilar datos del portapapeles, grabar transmisiones de audio y robar credenciales de navegadores web. Esto permite que el malware permanezca silenciosamente presente en un sistema comprometido durante un período prolongado de tiempo.
«El actor de amenazas Evasive Panda ha demostrado una vez más sus capacidades avanzadas, persistiendo en los sistemas objetivo durante largos períodos de tiempo y utilizando nuevas técnicas y herramientas para evadir las medidas de seguridad», dijo Kaspersky.
Source link
