Un grupo de amenazas persistentes avanzadas (APT) vinculado a China ha sido atribuido a una campaña de ciberespionaje altamente dirigida en la que el adversario envenenó el Sistema de Nombres de Dominio (DNS) solicita entregar su puerta trasera MgBot en ataques dirigidos a víctimas en Türkiye, China e India.
La actividad, dijo Kaspersky, se observó entre noviembre de 2022 y noviembre de 2024. Se ha vinculado a un grupo de piratería llamado Panda evasivoque se rastrea como Bronze Highland, Daggerfly y StormBamboo. Se estima que está activo desde al menos 2012.
«El grupo realizó principalmente ataques de adversario intermedio (AitM) contra víctimas específicas», dijo el investigador de Kaspersky Fatih Şensoy. dicho en un análisis profundo. «Estas incluían técnicas como colocar cargadores en ubicaciones específicas y almacenar partes cifradas del malware en servidores controlados por atacantes, que se resolvieron como respuesta a solicitudes DNS de sitios web específicos».
Esta no es la primera vez que las capacidades de envenenamiento de DNS de Evasive Panda salen a la luz. Ya en abril de 2023, ESET anotado que el actor de la amenaza puede haber comprometido la cadena de suministro o un ataque AitM para ofrecer versiones troyanizadas de aplicaciones legítimas como Tencent QQ en un ataque dirigido a una organización no gubernamental (ONG) internacional en China continental.
En agosto de 2024, un informe de Volexity reveló cómo el actor de amenazas comprometió a un proveedor de servicios de Internet (ISP) anónimo mediante un Ataque de envenenamiento de DNS para enviar actualizaciones de software malicioso a objetivos de interés.
Evasive Panda es también uno de los muchos grupos de actividades de amenazas alineados con China que han dependido del envenenamiento de AitM para la distribución de malware. En un análisis del mes pasado, ESET dicho está rastreando 10 grupos activos de China que han aprovechado la técnica para el acceso inicial o el movimiento lateral, incluidos LuoYu, BlackTech, TheWizards APT, Blackwood, PlushDaemon y FontGoblin.
En los ataques documentados por Kaspersky, se descubrió que el actor de amenazas utiliza señuelos que se hacen pasar por actualizaciones de software de terceros, como SohuVA, un servicio de transmisión de video de la empresa china de Internet Sohu. La actualización maliciosa se entrega desde el dominio «p2p.hd.sohu.com[.]cn», probablemente indicando un ataque de envenenamiento de DNS.
«Existe la posibilidad de que los atacantes hayan utilizado un ataque de envenenamiento de DNS para alterar la respuesta DNS de p2p.hd.sohu.com.[.]cn a la dirección IP de un servidor controlado por un atacante, mientras que el módulo de actualización genuino de la aplicación SohuVA intenta actualizar sus archivos binarios ubicados en appdata\roaming\shapp\7.0.18.0\package», explicó Şensoy.
El proveedor ruso de ciberseguridad dijo que también identificó otras campañas en las que Evasive Panda utilizó un actualizador falso para iQIYI Video de Baidu, así como IObit Smart Defrag y Tencent QQ.
El ataque allana el camino para la implementación de un cargador inicial que es responsable de iniciar el código shell que, a su vez, recupera un código shell cifrado de segunda etapa en forma de un archivo de imagen PNG, nuevamente mediante envenenamiento de DNS del diccionario del sitio web legítimo.[.]com.
Se dice que Evasive Panda manipuló la dirección IP asociada al diccionario[.]com, lo que hace que los sistemas de las víctimas resuelvan el sitio web en una dirección IP controlada por el atacante en función de su ubicación geográfica y proveedor de servicios de Internet.
Actualmente no se sabe cómo el actor de amenazas está envenenando las respuestas de DNS. Pero se sospechan dos escenarios posibles: o los ISP utilizados por las víctimas fueron atacados selectivamente y comprometidos para instalar algún tipo de implante de red en los dispositivos periféricos, o un enrutador o firewall utilizado por las víctimas fue pirateado para este propósito.
La solicitud HTTP para obtener el código shell de segunda etapa también contiene el número de versión actual de Windows. Probablemente se trate de un intento por parte de los atacantes de apuntar a versiones específicas del sistema operativo y adaptar su estrategia en función del sistema operativo utilizado. Vale la pena señalar que Evasive Panda ha aprovechado anteriormente los ataques de abrevadero para distribuir un malware para Apple macOS con nombre en código MACMA.
La naturaleza exacta de la carga útil de la segunda etapa no está clara, pero el análisis de Kaspersky muestra que el código shell de la primera etapa descifra y ejecuta la carga útil recuperada. Se evalúa que los atacantes generan un segundo archivo shellcode cifrado único para cada víctima como una forma de evitar la detección.
Un aspecto crucial de las operaciones es el uso de un cargador secundario («libpython2.4.dll») que se basa en una versión antigua y renombrada de «python.exe» para descargar. Una vez iniciado, descarga y descifra el malware de siguiente etapa leyendo el contenido de un archivo llamado «C:\ProgramData\Microsoft\eHome\perf.dat». Este archivo contiene la carga útil descifrada descargada en el paso anterior.
«Parece que el atacante utilizó un proceso complejo para obtener esta etapa de un recurso, donde inicialmente estaba cifrado con XOR», dijo Kaspersky. «Luego, el atacante descifró esta etapa con XOR y posteriormente la cifró y guardó en perf.dat utilizando un híbrido personalizado de la interfaz de programación de aplicaciones de protección de datos (DPAPI) de Microsoft y el algoritmo RC5».
El uso de un algoritmo de cifrado personalizado se considera un intento de complicar el análisis al garantizar que los datos cifrados solo puedan decodificarse en el sistema específico donde se realizó inicialmente el cifrado y bloquear cualquier intento de interceptar y analizar la carga maliciosa.
El código descifrado es una variante de MgBot que el cargador secundario inyecta en un proceso legítimo «svchost.exe». Un implante modular, MgBot, es capaz de recopilar archivos, registrar pulsaciones de teclas, recopilar datos del portapapeles, grabar transmisiones de audio y robar credenciales de navegadores web. Esto permite que el malware mantenga una presencia sigilosa en los sistemas comprometidos durante largos períodos de tiempo.
«El actor de amenazas Evasive Panda ha demostrado una vez más sus capacidades avanzadas, evadiendo medidas de seguridad con nuevas técnicas y herramientas mientras mantiene la persistencia a largo plazo en los sistemas objetivo», dijo Kaspersky.
Fuente