MgBot-Hintertür
Eine ausgeklügelte, mit China verbündete APT-Operation (Advanced Persistent Threat) wird einer langjährigen Cyber-Spionagekampagne zugeschrieben, die die DNS-Infrastruktur (Domain Name System) missbrauchte, um die MgBot-Backdoor einzuschleusen. Die Kampagne konzentrierte sich auf sorgfältig ausgewählte Opfer in der Türkei, China und Indien und war von November 2022 bis November 2024 aktiv.
Inhaltsverzeichnis
Der Widersacher hinter der Operation
Die Aktivitäten werden dem Bedrohungsakteur Evasive Panda zugeschrieben, der auch unter den Namen Bronze Highland, Daggerfly und StormBamboo geführt wird. Diese Gruppe ist nachweislich seit mindestens 2012 aktiv und bekannt für hochgradig gezielte Angriffe anstelle von breit angelegten, opportunistischen Attacken.
Der Gegner in der Mitte als Kerntaktik
Kern der Kampagne war der Einsatz von Adversary-in-the-Middle-Techniken (AitM). Die Angreifer manipulierten DNS-Antworten, um die Opfer unbemerkt auf von ihnen kontrollierte Infrastruktur umzuleiten. Malware-Loader wurden an präzise festgelegten Dateiorten platziert, während verschlüsselte Komponenten auf von den Angreifern kontrollierten Servern gehostet und nur als Antwort auf spezifische DNS-Anfragen an legitime Websites ausgeliefert wurden.
Ein Muster des DNS-Poisoning-Missbrauchs
Diese Kampagne ist kein Einzelfall. Evasive Panda hat wiederholt seine Expertise im Bereich DNS-Poisoning unter Beweis gestellt. Frühere Untersuchungen zeigten ähnliche Taktiken im April 2023 auf, als die Gruppe vermutlich entweder eine Kompromittierung der Lieferkette oder einen AitM-Angriff nutzte, um mit Trojanern infizierte Versionen vertrauenswürdiger Software, wie beispielsweise Tencent QQ, gegen eine internationale Nichtregierungsorganisation in Festlandchina zu verbreiten.
Im August 2024 wurde durch weitere Recherchen bekannt, dass die Gruppe einen nicht näher genannten Internetdienstanbieter (ISP) kompromittiert hatte und manipulierte DNS-Antworten missbrauchte, um bösartige Software-Updates an ausgewählte Ziele zu verteilen.
Ein breiteres Ökosystem von mit China verbündeten AitM-Akteuren
Evasive Panda ist Teil eines größeren Netzwerks von mit China verbundenen Bedrohungsgruppen, die auf AitM-basiertem Poisoning zur Malware-Verbreitung und -Bewegung in Netzwerken setzen. Analysten haben mindestens zehn aktive Gruppen identifiziert, die ähnliche Ansätze verfolgen, was unterstreicht, dass DNS-Manipulation in diesem Ökosystem zu einer bevorzugten Technik geworden ist.
Als Köder eingesetzte Software-Updates
Bei den dokumentierten Angriffen wurden die Opfer mit gefälschten Updates geködert, die als legitime Drittanbietersoftware getarnt waren. Ein besonders auffälliger Köder gab sich als Update für SohuVA aus, eine Videostreaming-Anwendung des chinesischen Technologieunternehmens Sohu. Das Update schien von der legitimen Domain p2p.hd.sohu.com[.]cn zu stammen, was stark darauf hindeutet, dass DNS-Poisoning eingesetzt wurde, um den Datenverkehr auf einen bösartigen Server umzuleiten, während die Anwendung versuchte, Binärdateien in ihrem Standardverzeichnis unter appdata\roaming\shapp\7.0.18.0\package zu aktualisieren.
Die Forscher beobachteten außerdem parallele Kampagnen, bei denen gefälschte Updater für Baidus iQIYI Video, IObit Smart Defrag und Tencent QQ missbraucht wurden.
Mehrstufige Nutzlastzustellung über vertrauenswürdige Domänen
Die erfolgreiche Ausführung des gefälschten Updates führte zur Installation eines initialen Loaders, der Shellcode startete. Dieser Shellcode lud eine verschlüsselte Payload der zweiten Stufe herunter, die als PNG-Bild getarnt war – erneut durch DNS-Poisoning, diesmal unter Missbrauch der legitimen Domain dictionary.com.
Die Angreifer manipulierten die DNS-Auflösung, sodass dictionary.com zu von ihnen kontrollierten IP-Adressen aufgelöst wurde, die anhand des geografischen Standorts und des Internetanbieters des Opfers ausgewählt wurden. Die HTTP-Anfrage zum Abrufen dieser Schadsoftware enthielt die Windows-Version des Opfers, wodurch die Angreifer wahrscheinlich Folgeaktionen auf bestimmte Betriebssystemversionen abstimmen konnten. Dieses selektive Vorgehen ähnelt früheren Watering-Hole-Angriffen der Gruppe, darunter die Verbreitung der macOS-Malware MACMA.
Wie die DNS-Vergiftung möglicherweise erreicht wurde
Obwohl die genaue Methode zur Manipulation von DNS-Antworten noch nicht bestätigt ist, vermuten die Ermittler zwei Hauptmöglichkeiten:
- Gezielte Kompromittierung von betroffenen Internetdienstanbietern, möglicherweise unter Einbeziehung von Netzwerkimplantaten auf Endgeräten zur Manipulation des DNS-Verkehrs.
- Direkte Kompromittierung von Routern oder Firewalls in den betroffenen Umgebungen, um DNS-Antworten lokal zu verändern.
Ausgefeilte Loader-Kette und benutzerdefinierte Verschlüsselung
Der zweite Schritt der Malware-Auslieferung ist bewusst komplex gestaltet. Der anfängliche Shellcode entschlüsselt und führt eine opferspezifische Nutzlast aus. Dieser Ansatz soll die Entdeckung erschweren, indem für jedes Ziel eine einzigartige verschlüsselte Datei generiert wird.
Ein zweiter Loader, getarnt als libpython2.4.dll, nutzt das Sideloading einer umbenannten, veralteten python.exe. Nach der Ausführung liest und entschlüsselt er die nächste Payload aus der Datei C:\ProgramData\Microsoft\eHome\perf.dat. Diese Datei enthält Malware, die zunächst XOR-verschlüsselt, dann entschlüsselt und schließlich mithilfe einer speziellen Kombination aus Microsofts Data Protection API (DPAPI) und dem RC5-Algorithmus erneut verschlüsselt wurde. Dadurch wird sichergestellt, dass die Payload nur auf dem ursprünglichen Zielsystem entschlüsselt werden kann, was das Abfangen und die Offline-Analyse erheblich erschwert.
MgBot: Ein unauffälliges und leistungsstarkes Implantat
Nach der Entschlüsselung wird die Payload in einen legitimen svchost.exe-Prozess eingeschleust und gibt sich als Variante der MgBot-Backdoor zu erkennen. Dieses modulare Implantat unterstützt eine Vielzahl von Spionagefunktionen, darunter:
- Dateisammlung und -exfiltration
- Tastatureingabeprotokollierung und Zwischenablageerfassung
- Audioaufnahme
- Diebstahl von im Browser gespeicherten Anmeldeinformationen
Diese Fähigkeiten ermöglichen es den Angreifern, einen langfristigen, verdeckten Zugriff auf kompromittierte Systeme aufrechtzuerhalten.
Eine sich entwickelnde und anhaltende Bedrohung
Diese Kampagne unterstreicht die kontinuierliche Weiterentwicklung und technische Raffinesse von Evasive Panda. Durch die Kombination von DNS-Poisoning, Identitätsdiebstahl bekannter Marken, mehrschichtigen Loadern und systemgebundener Verschlüsselung beweist die Gruppe ihre Fähigkeit, Sicherheitsvorkehrungen zu umgehen und gleichzeitig dauerhaften Zugriff auf wichtige Ziele zu erlangen. Die Operation verdeutlicht die Notwendigkeit verstärkter DNS-Sicherheit, der Überprüfung von Lieferketten und der Überwachung von Aktualisierungsmechanismen in sensiblen Umgebungen.
