A un grupo de Amenaza Persistente Avanzada (APT) vinculado a China se le ha atribuido una campaña de ciberespionaje altamente selectiva, que requiere que el Sistema de Nombres de Dominio (DNS) envenenado del atacante entregue su puerta trasera MgBot en ataques a víctimas en Turquía, China e India.
La actividad, dijo Kaspersky, se observó entre noviembre de 2022 y noviembre de 2024. Estaba vinculada a un grupo de piratas informáticos llamado ” panda evasivoque se rastrea como Bronze Highland, Daggerfly y StormBamboo. Se estima que ha estado activo desde al menos 2012.
“El grupo llevó a cabo principalmente ataques de adversario intermedio (AitM) contra víctimas específicas”, dijo el investigador de Kaspersky Fatih Şensoy en un análisis detallado. “Estas incluían técnicas como colocar cargadores en ubicaciones específicas y almacenar partes cifradas del malware en servidores controlados por el atacante, que se resolvieron en respuesta a consultas DNS específicas del sitio web”.
Esta no es la primera vez que salen a la luz las capacidades de envenenamiento de DNS de Evasive Panda. En abril de 2023, ESET descubrió que en un ataque a una organización no gubernamental (ONG) internacional en China continental, el actor de la amenaza pudo haber comprometido la cadena de suministro o un ataque AitM para entregar versiones troyanizadas de aplicaciones legítimas como Tencent QQ.
En agosto de 2024, un informe de Volexity reveló cómo el actor de amenazas comprometió a un proveedor de servicios de Internet (ISP) anónimo mediante un ataque de envenenamiento de DNS para enviar actualizaciones de software malicioso a objetivos relevantes.
Evasive Panda es también uno de los muchos grupos de actividad de amenazas dirigidos a China que se han basado en el envenenamiento de AitM para propagar malware. En un análisis del mes pasado, ESET dijo que estaba rastreando 10 grupos activos de China que han utilizado la técnica para acceso inicial o movimiento lateral, incluidos LuoYu, BlackTech, TheWizards APT, Blackwood, PlushDaemon y FontGoblin.
En los ataques documentados por Kaspersky, se descubrió que el actor de amenazas estaba utilizando señuelos que se hacían pasar por actualizaciones de software de terceros, como SohuVA, un servicio de transmisión de video de la empresa china de Internet Sohu. La actualización maliciosa la proporciona el dominio “p2p.hd.sohu.com(.)cn”, lo que probablemente indica un ataque de envenenamiento de DNS.
“Existe la posibilidad de que los atacantes hayan utilizado un ataque de envenenamiento de DNS para cambiar la respuesta DNS de p2p.hd.sohu.com(.)cn a la dirección IP de un servidor controlado por el atacante, mientras que el módulo de actualización real de la aplicación SohuVA intenta actualizar sus archivos binarios ubicados en appdata\roaming\shapp\7.0.18.0\package”, explicó Şensoy.
El proveedor ruso de ciberseguridad dijo que también identificó otras campañas en las que Evasive Panda utilizó un actualizador falso para iQIYI Video de Baidu, así como IObit Smart Defrag y Tencent QQ.
El ataque allana el camino para la implementación de un cargador inicial responsable de iniciar el código shell, que a su vez recupera un código shell cifrado de segunda etapa en forma de un archivo de imagen PNG, utilizando nuevamente el envenenamiento de DNS del diccionario del sitio web legítimo(.)com.
Se dice que Evasive Panda manipuló la dirección IP asociada con el diccionario(.)com, lo que provocó que los sistemas de las víctimas resolvieran el sitio web en una dirección IP controlada por el atacante en función de su ubicación geográfica y su ISP.
Actualmente se desconoce cómo el actor de amenazas envenena las respuestas de DNS. Sin embargo, se sospechan dos escenarios posibles: o los ISP utilizados por las víctimas fueron atacados y comprometidos para instalar algún tipo de implante de red en los dispositivos perimetrales, o un enrutador o firewall utilizado por las víctimas fue pirateado para este propósito.
La solicitud HTTP para obtener el código shell de la segunda etapa también incluye el número de versión actual de Windows. Probablemente se trate de un intento de los atacantes de apuntar a versiones específicas del sistema operativo y adaptar su estrategia en función del sistema operativo utilizado. Vale la pena señalar que Evasive Panda utilizó anteriormente ataques de abrevadero para difundir un malware de Apple macOS con nombre en código MACMA.
La naturaleza exacta de la carga útil de la segunda etapa no está clara, pero el análisis de Kaspersky muestra que el código shell de la primera etapa descifra y ejecuta la carga útil recuperada. Se supone que los atacantes crean un segundo archivo shellcode cifrado y único para cada víctima para evadir la detección.
Un aspecto crucial de las operaciones es el uso de un cargador secundario (“libpython2.4.dll”), que se basa en la descarga de una versión anterior y renombrada de “python.exe”. Una vez iniciado, descarga el malware de siguiente etapa y lo descifra leyendo el contenido de un archivo llamado “C:\ProgramData\Microsoft\eHome\perf.dat”. Este archivo contiene la carga útil descifrada descargada en el paso anterior.
“Parece que el atacante utilizó un proceso complejo para obtener esta fase de un recurso donde originalmente estaba cifrado XOR”, dijo Kaspersky. “El atacante luego descifró esta fase usando XOR y luego la cifró y la almacenó en perf.dat usando una combinación personalizada de la Interfaz de programación de aplicaciones de protección de datos (DPAPI) de Microsoft y el algoritmo RC5”.
El uso de un algoritmo de cifrado personalizado se considera un intento de complicar el análisis al garantizar que los datos cifrados solo puedan decodificarse en el sistema específico en el que se realizó originalmente el cifrado y al bloquear cualquier intento de interceptar y analizar la carga maliciosa.
El código descifrado es una variante de MgBot inyectada en un proceso legítimo “svchost.exe” por el cargador secundario. Un implante modular, MgBot, es capaz de recopilar archivos, registrar pulsaciones de teclas, recopilar datos del portapapeles, grabar transmisiones de audio y robar credenciales de navegadores web. Esto permite que el malware mantenga una presencia sigilosa en los sistemas comprometidos durante largos períodos de tiempo.
“El actor de amenazas Evasive Panda ha demostrado una vez más sus capacidades avanzadas al evadir medidas de seguridad utilizando nuevas técnicas y herramientas mientras mantiene la persistencia a largo plazo en los sistemas de destino”, dijo Kaspersky.
About The Author
