Специалисты по кибербезопасности Kaspersky Lab обнаружили новую серию высокоцелевых кампаний, проводимых китайской группировкой продвинутой постоянной угрозы (APT) Evasive Panda, также известной как Bronze Highland и Daggerfly. Активность группы, отслеживаемая с 2012 года, продолжалась с ноября 2022 по ноябрь 2024 года и была направлена на организации в Турции, Китае и Индии. Атаки отличались сложными методами уклонения от обнаружения, включая использование новой загрузочной программы и уникальные для каждой жертвы гибридные механизмы шифрования вредоносного ПО.
Описание
Основным вектором атак стала методика "противник-в-середине" (Adversary-in-the-Middle, AitM). Злоумышленники, вероятно, использовали отравление DNS для перенаправления трафика легитимных веб-сайтов, таких как dictionary[.]com, на контролируемые ими серверы. Это позволяло доставлять вредоносные полезные нагрузки (payload) под видом обновлений популярного программного обеспечения. В частности, для маскировки использовались фальшивые установщики для приложений SohuVA, iQIYI Video, IObit Smart Defrag и Tencent QQ.
Первоначальный загрузчик, написанный на C++, был искусно встроен в код легального примера приложения из библиотеки Windows Template Library. Его главной задачей было расшифровать и выполнить многоэтапный шелл-код, который, в свою очередь, загружал вторую стадию вредоносного кода с компрометированного веб-ресурса. Процесс загрузки включал отправку в HTTP-заголовках точной версии операционной системы Windows, что, вероятно, позволяло злоумышленникам адаптировать финальный вредоносный модуль под конкретную среду жертвы.
Особое внимание исследователей привлек новый метод обеспечения скрытности и устойчивости (persistence). Группа использовала вторичный загрузчик, замаскированный под библиотеку libpython2.4.dll, который выполнялся с помощью легитимного подписанного файла evteng.exe. Этот загрузчик расшифровывал финальную стадию атаки из файла, защищенного гибридным алгоритмом шифрования, сочетающим API защиты данных Microsoft (DPAPI) и алгоритм RC5. Такой подход гарантировал, что критически важная часть вредоносного кода может быть расшифрована только на конкретной скомпрометированной системе, что серьезно затрудняет анализ для защитников.
Финальным этапом цепочки атаки стало внедрение в память легитимного процесса svchost.exe давно известного импланта MgBot. Этот модуль обеспечивал злоумышленникам долгосрочный доступ к системам, причем некоторые жертвы оставались скомпрометированными более года. Анализ конфигурации MgBot выявил список из нескольких командных серверов (C2), часть из которых использовалась на протяжении многих лет, что свидетельствует о хорошо спланированной и ресурсоемкой операции.
Техники, тактики и процедуры (TTP), использованные в этой кампании, с высокой долей уверенности указывают на группу Evasive Panda. Несмотря на разработку новых инструментов, группа продолжает полагаться на проверенный временем имплант MgBot, модернизируя его конфигурацию. Эксперты полагают, что внедрение новых загрузчиков может предвещать дальнейшее обновление арсенала группы. Точный механизм проведения атак с отравлением DNS остается не до конца ясным. Специалисты рассматривают два возможных сценария: либо была скомпрометирована инфраструктура интернет-провайдеров жертв, либо атаке подверглись сетевые устройства, такие как маршрутизаторы, в самих целевых организациях. Для точного определения причин требуются дополнительные расследования на стороне как провайдеров, так и пострадавших компаний.
Индикаторы компрометации
IPv4
- 103.27.110.232
- 103.96.130.107
- 106.126.3.56
- 106.126.3.78
- 112.80.248.27
- 116.213.178.11
- 117.121.133.33
- 123.139.57.103
- 139.84.170.230
- 140.205.220.98
- 158.247.214.28
- 58.68.255.45
- 60.28.124.21
- 60.29.226.181
- 61.135.185.29
MD5
- 7973e0694ab6545a044a49ff101d412a
- 9e72410d61eaa4f24e0719b34d7cad19
- c340195696d13642ecf20fbe75461bed
