Um grupo de Advanced Persistent Threat (APT) ligado à China foi identificado como responsável por uma sofisticada campanha de ciberespionagem que utilizou envenenamento de requisições DNS para distribuir o backdoor MgBot.
As ações atingiram alvos específicos na Turquia, China e Índia.
Segundo a Kaspersky, essa atividade foi monitorada entre novembro de 2022 e novembro de 2024.
O grupo, conhecido como Evasive Panda e também rastreado pelos nomes Bronze Highland, Daggerfly e StormBamboo, opera desde pelo menos 2012.
“O grupo realizava principalmente ataques adversary-in-the-middle (AitM) contra vítimas específicas”, explicou o pesquisador Fatih Şensoy em uma análise aprofundada.
Entre as táticas estavam a instalação de loaders em locais predeterminados e o armazenamento de partes criptografadas do malware em servidores controlados pelos invasores, que respondiam apenas a certas requisições DNS.
Não é a primeira vez que o Evasive Panda demonstra capacidade de envenenar DNS.
Em abril de 2023, a ESET identificou que o grupo pode ter realizado um comprometimento na cadeia de suprimentos ou um ataque AitM para distribuir versões trojanizadas de aplicativos legítimos, como o Tencent QQ, visando uma ONG internacional na China continental.
Em agosto de 2024, um relatório da Volexity mostrou que o grupo atacou um provedor de internet (ISP) não divulgado via envenenamento de DNS, o que permitiu a propagação de atualizações maliciosas para alvos escolhidos.
O Evasive Panda é um dos diversos clusters chineses que utilizam o envenenamento AitM para distribuir malware.
A ESET acompanha atualmente dez grupos chineses ativos com essa estratégia, incluindo LuoYu, BlackTech, TheWizards APT, Blackwood, PlushDaemon e FontGoblin.
Nas investigações da Kaspersky, o grupo aparenta usar iscas disfarçadas de atualizações de softwares de terceiros, como o SohuVA — serviço de streaming da empresa chinesa Sohu.
A entrega maliciosa ocorre pelo domínio “p2p.hd.sohu.com[.]cn”, evidenciando um provável ataque de DNS poisoning.
“Possivelmente, os invasores alteraram a resposta DNS do domínio para um IP sob seu controle enquanto o módulo legítimo tentava atualizar os arquivos localizados em appdata\roaming\shapp\7.0.18.0\package”, comentou Şensoy.
Outras campanhas do grupo envolveram updaters falsos para o iQIYI Video da Baidu, além de IObit Smart Defrag e Tencent QQ.
O ataque inicial implanta um loader que executa shellcode para buscar um segundo estágio criptografado, disfarçado em uma imagem PNG, também por meio de envenenamento DNS, desta vez no site dictionary[.]com.
Para isso, o Evasive Panda manipula o IP associado ao domínio dictionary[.]com, fazendo com que os sistemas das vítimas resolvam o endereço para IPs controlados pelos invasores, conforme a localização geográfica e o provedor de internet.
Ainda não se sabe exatamente como o grupo realiza o envenenamento das respostas DNS, mas duas hipóteses predominam: a primeira é o comprometimento seletivo dos ISPs para instalar implantes em dispositivos de borda; a segunda envolve o hackeamento de roteadores ou firewalls usados pelas vítimas.
Além disso, a requisição HTTP para obter a shellcode de segundo estágio inclui a versão atual do Windows, indicando uma tentativa de segmentar sistemas operacionais específicos e adaptar a abordagem conforme o ambiente.
Anteriormente, o grupo já utilizou ataques watering hole para distribuir malware para macOS, conhecido como MACMA.
Embora a natureza exata do payload de segundo estágio ainda não esteja clara, a análise da Kaspersky mostrou que a shellcode inicial decripta e executa o payload baixado.
Cada arquivo criptografado é único para cada vítima, uma técnica para dificultar a detecção.
Outro aspecto importante é o uso de um loader secundário chamado “libpython2.4.dll”, que depende de uma versão renomeada e antiga do “python.exe” para ser carregado.
Após ativação, ele baixa e decripta o malware seguinte lendo o arquivo “C:\ProgramData\Microsoft\eHome\perf.dat”, que contém o payload descriptografado.
Segundo a Kaspersky, o grupo empregou um processo complexo de criptografia XOR combinado com o DPAPI da Microsoft e o algoritmo RC5 para proteger os dados, dificultando a análise e a interceptação.
O código decriptado é uma variante do MgBot, que é injetada pelo loader secundário em um processo legítimo do sistema, o “svchost.exe”.
Esse implante modular é capaz de coletar arquivos, registrar teclas, capturar conteúdo da área de transferência, gravar áudio e roubar credenciais de navegadores, permitindo uma presença discreta e persistente nos sistemas comprometidos.
A Kaspersky concluiu que “o grupo Evasive Panda mais uma vez demonstrou suas capacidades avançadas, utilizando novas técnicas para evadir defesas e mantendo uma presença de longa duração nos sistemas visados”.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...