Un grupo de amenazas persistentes avanzadas (APT) vinculado a China ha sido atribuido a una campaña de ciberespionaje muy específica en la que el adversario envenenó las solicitudes del Sistema de Nombres de Dominio (DNS) para entregar su característica puerta trasera mGBot en ataques contra víctimas en Turquía, China e India.
La actividad, según Kaspersky, se observó entre noviembre de 2022 y noviembre de 2024. Se ha vinculado a un grupo de hackers llamado Panda evasivo , que se rastrea como Bronze Highland, Daggerfly y StormBamboo. Se considera que está activo al menos desde 2012.
«El grupo llevó a cabo principalmente ataques de tipo adversario intermedio (AiTM) contra víctimas específicas», dijo Fatih Şensoy, investigador de Kaspersky dijo en un análisis profundo. «Entre ellas figuraban técnicas como colocar los cargadores en ubicaciones específicas y almacenar partes cifradas del malware en servidores controlados por los atacantes, que se resolvieron en respuesta a solicitudes específicas de DNS para sitios web».
No es la primera vez que salen a la luz las capacidades de envenenamiento de DNS de Evasive Panda. Ya en abril de 2023, ESET apuntado que el actor de la amenaza puede haber llevado a cabo una amenaza a la cadena de suministro o un ataque de AITM para publicar versiones troyanizadas de aplicaciones legítimas, como Tencent QQ, en un ataque dirigido contra una organización no gubernamental (ONG) internacional en China continental.
En agosto de 2024, un informe de Volexity revelada cómo el actor de la amenaza comprometió a un proveedor de servicios de Internet (ISP) anónimo mediante un Ataque de envenenamiento de DNS para enviar actualizaciones de software malintencionado a los objetivos de interés.
Evasive Panda también es uno de los muchos grupos de actividad de amenazas alineados con China que han confiado en el envenenamiento de AiTM para la distribución de malware. En un análisis realizado el mes pasado, ESET dijo está rastreando a 10 grupos activos de China que han aprovechado la técnica para el acceso inicial o el movimiento lateral, incluidos LuoYu, BlackTech, TheWizards APT, Blackwood, PlushDaemon y FontGoblin.
En los ataques documentados por Kaspersky, se descubrió que el actor de amenazas utilizaba señuelos disfrazados de actualizaciones de software de terceros, como SoHuVa, un servicio de streaming de vídeo de la empresa china de Internet Sohu. La actualización malintencionada proviene del dominio «p2p.hd.sohu.com [.] cn», lo que probablemente indique que se trata de un ataque de envenenamiento del DNS.
«Existe la posibilidad de que los atacantes hayan utilizado un ataque de envenenamiento del DNS para alterar la respuesta DNS de p2p.hd.sohu.com [.] cn a la dirección IP de un servidor controlado por el atacante, mientras que el módulo de actualización original de la aplicación SoHuVa intenta actualizar sus archivos binarios ubicados en appdata\ roaming\ shapp\ 7.0.18.0\ package», explicó Şensoy.
El proveedor ruso de ciberseguridad dijo que también identificó otras campañas en las que Evasive Panda utilizó un actualizador falso para iQIYI Video de Baidu, así como para IObit Smart Defrag y Tencent QQ.
El ataque allana el camino para el despliegue de un cargador inicial que se encarga de lanzar el shellcode que, a su vez, obtiene un shellcode cifrado de segunda etapa en forma de archivo de imagen PNG, también mediante el envenenamiento del DNS del sitio web legítimo dictionary [.] com.
Se dice que Evasive Panda manipuló la dirección IP asociada a dictionary [.] com, lo que provocó que los sistemas de las víctimas convirtieran el sitio web en una dirección IP controlada por un atacante en función de su ubicación geográfica y su proveedor de servicios de Internet.
Actualmente no se sabe cómo el actor de la amenaza está envenenando las respuestas del DNS. Sin embargo, se sospecha que existen dos escenarios posibles: o bien los proveedores de servicios de Internet utilizados por las víctimas fueron atacados de forma selectiva y se vieron comprometidos para instalar algún tipo de implante de red en dispositivos periféricos, o bien un router o firewall utilizado por las víctimas fue hackeado con este fin.
La solicitud HTTP para obtener el código de shell de la segunda etapa también contiene el número de versión actual de Windows. Es probable que se trate de un intento por parte de los atacantes de atacar versiones específicas del sistema operativo y adaptar su estrategia en función del sistema operativo utilizado. Vale la pena señalar que Evasive Panda ya había aprovechado anteriormente los ataques a pozos de agua para distribuir un malware de Apple macOS con el nombre en código MACMA .
La naturaleza exacta de la carga útil de la segunda etapa no está clara, pero el análisis de Kaspersky muestra que el código shell de la primera etapa descifra y ejecuta la carga útil recuperada. Se ha determinado que los atacantes generan un segundo archivo de código de shell cifrado único para cada víctima con el fin de eludir la detección.
Un aspecto crucial de las operaciones es el uso de un cargador secundario («libpython2.4.dll») que depende de una versión anterior y renombrada de "python.exe" para descargarla de forma lateral. Una vez lanzado, descarga y descifra el malware de última generación leyendo el contenido de un archivo llamado "C:\ProgramData\Microsoft\eHome\perf.dat.» Este archivo contiene la carga descifrada que se descargó en el paso anterior.
«Parece que el atacante utilizó un proceso complejo para obtener esta etapa de un recurso, donde inicialmente estaba encriptado con XOR», dijo Kaspersky. «A continuación, el atacante descifró esta fase con XOR y, posteriormente, la cifró y la guardó en perf.dat mediante un híbrido personalizado de la interfaz de programación de aplicaciones de protección de datos (DPAPI) de Microsoft y el algoritmo RC5».
El uso de un algoritmo de cifrado personalizado se considera un intento de complicar el análisis al garantizar que los datos cifrados solo se puedan decodificar en el sistema específico en el que se realizó inicialmente el cifrado y bloquear cualquier intento de interceptar y analizar la carga maliciosa.
El código descifrado es una variante de mGbot que el cargador secundario inyecta en un proceso "svchost.exe» legítimo. Un implante modular, mGBot, es capaz de recopilar archivos, registrar las pulsaciones de teclas, recopilar datos del portapapeles, grabar transmisiones de audio y robar credenciales de los navegadores web. Esto permite que el malware mantenga una presencia sigilosa en los sistemas comprometidos durante largos períodos de tiempo.
«El actor de amenazas Evasive Panda ha demostrado una vez más sus capacidades avanzadas, evadiendo las medidas de seguridad con nuevas técnicas y herramientas, al tiempo que mantiene una persistencia a largo plazo en los sistemas objetivo», afirma Kaspersky.
Post generado automaticamente, fuente oficial de la información: THEHACKERNEWS