Η εκστρατεία DNS Poisoning της Evasive Panda και το κακόβουλο λογισμικό MgBot

Μια ομάδα προχωρημένων απειλών (APT) που συνδέεται με την Κίνα, γνωστή ως Evasive Panda, βρίσκεται πίσω από μια στοχευμένη εκστρατεία κυβερνοκατασκοπείας. Η εκστρατεία αυτή περιλαμβάνει τη δηλητηρίαση αιτήσεων Domain Name System (DNS) για την παράδοση του κακόβουλου λογισμικού MgBot σε επιθέσεις που στοχεύουν θύματα στην Τουρκία, την Κίνα και την Ινδία.

Η δράση της Evasive Panda

Σύμφωνα με την Kaspersky, η δραστηριότητα αυτή παρατηρήθηκε μεταξύ Νοεμβρίου 2022 και Νοεμβρίου 2024 και συνδέεται με την ομάδα χάκερ που είναι γνωστή ως Bronze Highland, Daggerfly και StormBamboo. Η ομάδα θεωρείται ενεργή από τουλάχιστον το 2012, χρησιμοποιώντας κυρίως επιθέσεις τύπου “adversary-in-the-middle” (AitM) σε συγκεκριμένα θύματα. Αυτές οι επιθέσεις περιλαμβάνουν τεχνικές όπως την απόθεση φορτωτών σε συγκεκριμένες τοποθεσίες και την αποθήκευση κρυπτογραφημένων τμημάτων του κακόβουλου λογισμικού σε διακομιστές που ελέγχονται από τον επιτιθέμενο.

Παραδείγματα επιθέσεων

Η Evasive Panda έχει χρησιμοποιήσει τις δυνατότητες DNS poisoning και σε άλλες περιπτώσεις. Τον Απρίλιο του 2023, η ESET σημείωσε ότι η ομάδα μπορεί να είχε πραγματοποιήσει είτε μια επίθεση μέσω της αλυσίδας εφοδιασμού είτε μια επίθεση AitM για να εξυπηρετήσει τροποποιημένες εκδόσεις νόμιμων εφαρμογών όπως το Tencent QQ, στοχεύοντας έναν διεθνή μη κυβερνητικό οργανισμό στην ηπειρωτική Κίνα.

Τον Αύγουστο του 2024, μια αναφορά από τη Volexity αποκάλυψε πώς η ομάδα απειλών παραβίασε έναν ανώνυμο πάροχο υπηρεσιών διαδικτύου (ISP) μέσω επίθεσης DNS poisoning για να προωθήσει κακόβουλες ενημερώσεις λογισμικού σε στόχους ενδιαφέροντος.

Η τεχνική του DNS Poisoning

Η Evasive Panda είναι μία από τις πολλές ομάδες απειλών που ευθυγραμμίζονται με την Κίνα και βασίζονται στην τεχνική AitM για τη διανομή κακόβουλου λογισμικού. Η ESET ανέφερε ότι παρακολουθεί 10 ενεργές ομάδες από την Κίνα που έχουν χρησιμοποιήσει την τεχνική για αρχική πρόσβαση ή για πλευρική κίνηση, συμπεριλαμβανομένων των LuoYu, BlackTech, TheWizards APT, Blackwood, PlushDaemon και FontGoblin.

Στις επιθέσεις που τεκμηριώθηκαν από την Kaspersky, ο επιτιθέμενος χρησιμοποιεί δολώματα που παρουσιάζονται ως ενημερώσεις για λογισμικό τρίτων, όπως το SohuVA, μια υπηρεσία streaming βίντεο της κινεζικής εταιρείας διαδικτύου Sohu. Η κακόβουλη ενημέρωση παραδίδεται από τον τομέα “p2p.hd.sohu.com[.]cn”, υποδεικνύοντας πιθανώς μια επίθεση DNS poisoning.

Γιατί έχει σημασία

Η χρήση της τεχνικής DNS poisoning από την Evasive Panda δείχνει την ικανότητα των επιτιθέμενων να παρακάμπτουν τα παραδοσιακά μέτρα ασφαλείας και να διατηρούν μακροχρόνια παρουσία σε στοχευμένα συστήματα. Η εκστρατεία αυτή υπογραμμίζει την ανάγκη για αυξημένη επαγρύπνηση από πλευράς οργανισμών και χρηστών, καθώς και την ανάγκη για ισχυρότερα μέτρα προστασίας δικτύων και δεδομένων. Οι επιθέσεις αυτές μπορούν να έχουν σοβαρές συνέπειες για την ασφάλεια των πληροφοριών και την ιδιωτικότητα των χρηστών.