Η ESET Research αποκαλύπτει μια καμπάνια από την ομάδα APT γνωστή ως Evasive Panda που στοχεύει μια διεθνή ΜΚΟ στην Κίνα με κακόβουλο λογισμικό που παρέχεται μέσω ενημερώσεων δημοφιλούς κινεζικού λογισμικού
Οι ερευνητές της ESET ανακάλυψαν μια καμπάνια που αποδίδουμε στην ομάδα APT, γνωστή ως Evasive Panda, όπου τα κανάλια ενημέρωσης των νόμιμων εφαρμογών παραβιάστηκαν μυστηριωδώς για να παραδοθεί το πρόγραμμα εγκατάστασης για το κακόβουλο λογισμικό MgBot, τη ναυαρχίδα του Evasive Panda.
- Οι χρήστες στην ηπειρωτική Κίνα στοχοποιήθηκαν με κακόβουλο λογισμικό που παραδόθηκε μέσω ενημερώσεων για λογισμικό που αναπτύχθηκε από κινεζικές εταιρείες.
- Αναλύουμε τις ανταγωνιστικές υποθέσεις για το πώς το κακόβουλο λογισμικό θα μπορούσε να έχει παραδοθεί σε στοχευμένους χρήστες.
- Με μεγάλη σιγουριά αποδίδουμε αυτή τη δραστηριότητα στην ομάδα Evasive Panda APT.
- Παρέχουμε μια επισκόπηση της υπογραφής backdoor MgBot του Evasive Panda και της εργαλειοθήκης των μονάδων πρόσθετων.
Προσφυγικό προφίλ Panda
Υπεκφυγές Panda (Επίσης γνωστή ως BRONZE HIGHLAND και Ντάγκερμύγα) είναι μια κινεζόφωνη ομάδα APT, ενεργό τουλάχιστον από το 2012. Η ESET Research παρατήρησε την ομάδα να διεξάγει κυβερνοκατασκοπεία κατά ατόμων στην ηπειρωτική Κίνα, το Χονγκ Κονγκ, το Μακάο και τη Νιγηρία. Στοχοποιήθηκαν κυβερνητικές οντότητες στην Κίνα, το Μακάο και τις χώρες της Νοτιοανατολικής και Ανατολικής Ασίας, συγκεκριμένα τη Μιανμάρ, τις Φιλιππίνες, την Ταϊβάν και το Βιετνάμ, ενώ άλλοι οργανισμοί στην Κίνα και το Χονγκ Κονγκ στοχοποιήθηκαν επίσης. Σύμφωνα με δημόσιες αναφορές, η ομάδα έχει επίσης στοχεύσει άγνωστες οντότητες στο Χονγκ Κονγκ, την Ινδία και τη Μαλαισία.
Η ομάδα εφαρμόζει το δικό της προσαρμοσμένο πλαίσιο κακόβουλου λογισμικού με αρθρωτή αρχιτεκτονική που επιτρέπει στην κερκόπορτα της, γνωστή ως MgBot, να λαμβάνει ενότητες για να κατασκοπεύει τα θύματά της και να βελτιώνει τις δυνατότητές της.
Επισκόπηση καμπάνιας
Τον Ιανουάριο του 2022, ανακαλύψαμε ότι κατά την εκτέλεση ενημερώσεων, μια νόμιμη κινεζική εφαρμογή είχε λάβει ένα πρόγραμμα εγκατάστασης για την κερκόπορτα Evasive Panda MgBot. Κατά τη διάρκεια της έρευνάς μας, ανακαλύψαμε ότι η κακόβουλη δραστηριότητα πήγε πίσω στο 2020.
Οι Κινέζοι χρήστες ήταν το επίκεντρο αυτής της κακόβουλης δραστηριότητας, την οποία δείχνει η τηλεμετρία της ESET ξεκινώντας το 2020 και συνεχίζεται όλο το 2021. Οι στοχευμένοι χρήστες βρίσκονταν στις επαρχίες Gansu, Guangdong και Jiangsu, όπως φαίνεται στο Σχήμα 1.
Η πλειοψηφία των Κινέζων θυμάτων είναι μέλη μιας διεθνούς ΜΚΟ που δραστηριοποιείται σε δύο από τις προαναφερθείσες επαρχίες.
Ένα επιπλέον θύμα εντοπίστηκε επίσης στη χώρα της Νιγηρίας.
απόδοση
Το Evasive Panda χρησιμοποιεί μια προσαρμοσμένη κερκόπορτα γνωστή ως MgBot, η οποία ήταν δημόσια τεκμηριωμένη το 2014 και έχει δει ελάχιστη εξέλιξη από τότε. από όσο γνωρίζουμε, η κερκόπορτα δεν έχει χρησιμοποιηθεί από καμία άλλη ομάδα. Σε αυτό το σύμπλεγμα κακόβουλης δραστηριότητας, μόνο το κακόβουλο λογισμικό MgBot παρατηρήθηκε να αναπτύσσεται σε μηχανήματα που έχουν υποστεί θυματοποίηση, μαζί με την εργαλειοθήκη προσθηκών του. Επομένως, με μεγάλη εμπιστοσύνη αποδίδουμε αυτή τη δραστηριότητα στο Evasive Panda.
Τεχνική ανάλυση
Κατά τη διάρκεια της έρευνάς μας, ανακαλύψαμε ότι κατά την εκτέλεση αυτοματοποιημένων ενημερώσεων, ένα νόμιμο στοιχείο λογισμικού εφαρμογής κατέβασε προγράμματα εγκατάστασης backdoor MgBot από νόμιμες διευθύνσεις URL και διευθύνσεις IP.
Στον Πίνακα 1, παρέχουμε τη διεύθυνση URL από την οποία προήλθε η λήψη, σύμφωνα με τα δεδομένα τηλεμετρίας της ESET, συμπεριλαμβανομένων των διευθύνσεων IP των διακομιστών, όπως επιλύθηκαν εκείνη τη στιγμή από το σύστημα του χρήστη. Επομένως, πιστεύουμε ότι αυτές οι διευθύνσεις IP είναι νόμιμες. Σύμφωνα με τις παθητικές εγγραφές DNS, όλες αυτές οι διευθύνσεις IP ταιριάζουν με τους τομείς που παρατηρούνται, επομένως πιστεύουμε ότι αυτές οι διευθύνσεις IP είναι νόμιμες.
Πίνακας 1. Κακόβουλες τοποθεσίες λήψης σύμφωνα με την τηλεμετρία ESET
URL | Εμφανίστηκε για πρώτη φορά | IP τομέα | ASN | Downloader |
---|---|---|---|---|
http://update.browser.qq[.]com/qmbs/QQ/QQUrlMgr_QQ88_4296.exe | 2020-11-02 | 123.151.72[.]74 | AS58542 | QQUrlMgr.exe QQ.exe QQLive.exe QQCall .exe |
183.232.96[.]107 | AS56040 | |||
61.129.7[.]35 | AS4811 |
Υποθέσεις συμβιβασμού
Όταν αναλύσαμε την πιθανότητα διάφορων μεθόδων που θα μπορούσαν να εξηγήσουν πώς οι εισβολείς κατάφεραν να παραδώσουν κακόβουλο λογισμικό μέσω νόμιμων ενημερώσεων, μείναμε με δύο σενάρια: συμβιβασμός της εφοδιαστικής αλυσίδας και επιθέσεις αντιπάλου στη μέση. Και για τα δύο σενάρια θα λάβουμε επίσης υπόψη τα προηγούμενα παρόμοιων επιθέσεων από άλλες κινεζόφωνες ομάδες APT.
Το Tencent QQ είναι μια δημοφιλής κινεζική υπηρεσία συνομιλίας και κοινωνικής δικτύωσης. Στις επόμενες ενότητες, θα χρησιμοποιήσουμε το πρόγραμμα ενημέρωσης λογισμικού πελάτη Tencent QQ των Windows, QQUrlMgr.exe (παρατίθεται στον Πίνακα 1), για τα παραδείγματά μας, δεδομένου ότι έχουμε τον μεγαλύτερο αριθμό ανιχνεύσεων από λήψεις από το συγκεκριμένο στοιχείο.
Σενάριο συμβιβασμού της εφοδιαστικής αλυσίδας
Δεδομένης της στοχευμένης φύσης των επιθέσεων, υποθέτουμε ότι οι εισβολείς θα έπρεπε να υπονομεύσουν τους διακομιστές ενημερώσεων QQ για να εισαγάγουν έναν μηχανισμό αναγνώρισης των στοχευμένων χρηστών για να τους παραδώσει το κακόβουλο λογισμικό, φιλτράροντας τους μη στοχευμένους χρήστες και παρέχοντάς τους νόμιμες ενημερώσεις.
Αν και δεν είναι υπόθεση Evasive Panda, ένα χαρακτηριστικό παράδειγμα αυτού του τύπου συμβιβασμού βρίσκεται στην έκθεσή μας Operation NightScout: Η επίθεση με αλυσίδα εφοδιασμού στοχεύει διαδικτυακά παιχνίδια στην Ασία, όπου οι εισβολείς παραβίασαν τους διακομιστές ενημέρωσης μιας εταιρείας ανάπτυξης λογισμικού με έδρα το Χονγκ Κονγκ. Σύμφωνα με την τηλεμετρία μας, περισσότεροι από 100,000 χρήστες είχαν εγκαταστήσει το λογισμικό BigNox, αλλά μόνο πέντε είχαν παραδοθεί κακόβουλο λογισμικό μέσω ενημέρωσης. Υποπτευόμαστε ότι οι εισβολείς παραβίασαν το BigNox API στον διακομιστή ενημέρωσης για να απαντήσουν στο στοιχείο ενημέρωσης σε μηχανήματα στοχευμένων χρηστών με μια διεύθυνση URL σε έναν διακομιστή όπου οι εισβολείς φιλοξενούσαν το κακόβουλο λογισμικό τους. Οι μη στοχευμένοι χρήστες έλαβαν το νόμιμο URL ενημέρωσης.
Με βάση αυτό το προηγούμενο, στο Σχήμα 2 παρουσιάζουμε πώς θα μπορούσε να είχε εκτυλιχθεί το συμβιβαστικό σενάριο της εφοδιαστικής αλυσίδας σύμφωνα με τις παρατηρήσεις στην τηλεμετρία μας. Ωστόσο, πρέπει να προειδοποιήσουμε τον αναγνώστη ότι πρόκειται για καθαρά εικασίες και βασίζεται στη στατική μας ανάλυση, με πολύ περιορισμένες πληροφορίες, QQUrlMgr.exe (SHA-1: DE4CD63FD7B1576E65E79D1D10839D676ED20C2B).
Αξίζει επίσης να σημειωθεί ότι κατά τη διάρκεια της έρευνάς μας δεν μπορέσαμε ποτέ να ανακτήσουμε ένα δείγμα των δεδομένων «ενημέρωσης» XML – ούτε νόμιμο, ούτε κακόβουλο, δείγμα XML – από τον διακομιστή με τον οποίο επικοινωνεί QQUrlMgr.exe. Η διεύθυνση URL "ελέγχου ενημέρωσης" είναι κωδικοποιημένη, σε ασαφή μορφή, στο εκτελέσιμο αρχείο, όπως φαίνεται στην Εικόνα 3.
Καθαρισμένη, η πλήρης διεύθυνση URL ελέγχου ενημέρωσης είναι:
http://c.gj.qq[.]com/fcgi-bin/busxml?busid=20&supplyid=30088&guid=CQEjCF9zN8Zdyzj5S6F1MC1RGUtw82B7yL+hpt9/gixzExnawV3y20xaEdtektfo&dm=0
Ο διακομιστής ανταποκρίνεται με δεδομένα σε μορφή XML, κωδικοποιημένα με base64 και κρυπτογραφημένα με μια υλοποίηση του αλγόριθμου TEA χρησιμοποιώντας ένα κλειδί 128-bit. Αυτά τα δεδομένα περιέχουν οδηγίες για τη λήψη και την εκτέλεση ενός αρχείου, μαζί με άλλες πληροφορίες. Δεδομένου ότι το κλειδί αποκρυπτογράφησης είναι επίσης κωδικοποιημένο, όπως φαίνεται στο Σχήμα 4, θα μπορούσε να είναι γνωστό στους εισβολείς.
QQUrlMgr.exe στη συνέχεια κατεβάζει το υποδεικνυόμενο αρχείο, μη κρυπτογραφημένο, μέσω HTTP και κατακερματίζει το περιεχόμενό του με τον αλγόριθμο MD5. Το αποτέλεσμα ελέγχεται έναντι ενός κατακερματισμού που υπάρχει στα δεδομένα XML απόκρισης ελέγχου ενημέρωσης, όπως φαίνεται στην Εικόνα 5. Εάν οι κατακερματισμοί ταιριάζουν, QQUrlMgr.exe εκτελεί το ληφθέν αρχείο. Αυτό ενισχύει την υπόθεσή μας ότι οι εισβολείς θα πρέπει να ελέγχουν τον μηχανισμό από την πλευρά του διακομιστή XML στον διακομιστή ενημέρωσης για να είναι σε θέση να παρέχουν το σωστό κατακερματισμό MD5 του προγράμματος εγκατάστασης κακόβουλου λογισμικού.
Πιστεύουμε ότι αυτό το σενάριο θα εξηγούσε τις παρατηρήσεις μας. Ωστόσο, πολλά ερωτήματα μένουν αναπάντητα. Φτάσαμε στο Tencent's Κέντρο απόκρισης ασφαλείας για να επιβεβαιώσετε τη νομιμότητα της πλήρους διεύθυνσης URL από όπου έγινε λήψη του κακόβουλου λογισμικού. update.browser.qq[.]com είναι – τη στιγμή της σύνταξης – μη προσβάσιμο, αλλά η Tencent δεν μπόρεσε να επιβεβαιώσει εάν η πλήρης διεύθυνση URL ήταν νόμιμη.
Σενάριο αντίπαλος στη μέση
Στις 2022-06-02, η Kaspersky δημοσίευσε ένα έρευνα αναφορά σχετικά με τις δυνατότητες της κινεζικής ομάδας LuoYu APT και του κακόβουλου λογισμικού WinDealer. Παρόμοια με αυτό που παρατηρήσαμε σε αυτό το σύμπλεγμα θυμάτων Panda Evasive, οι ερευνητές τους βρήκαν ότι, από το 2020, τα θύματα του LuoYu είχαν λάβει το κακόβουλο λογισμικό WinDealer μέσω ενημερώσεων μέσω της νόμιμης εφαρμογής qgametool.exe από το PPTV λογισμικό, που αναπτύχθηκε επίσης από κινεζική εταιρεία.
Το WinDealer έχει μια αινιγματική ικανότητα: αντί να φέρει μια λίστα με καθιερωμένους διακομιστές C&C για επικοινωνία σε περίπτωση επιτυχούς συμβιβασμού, δημιουργεί τυχαίες διευθύνσεις IP στο 13.62.0.0/15 και 111.120.0.0/14 κυμαίνεται από την China Telecom AS4134. Αν και μια μικρή σύμπτωση, παρατηρήσαμε ότι οι διευθύνσεις IP των στοχευμένων Κινέζων χρηστών τη στιγμή της λήψης του κακόβουλου λογισμικού MgBot βρίσκονταν στις περιοχές διευθύνσεων IP AS4134 και AS4135.
Πιθανές εξηγήσεις για το τι επιτρέπει αυτές τις δυνατότητες για την υποδομή C&C του είναι ότι το LuoYu είτε ελέγχει μεγάλο αριθμό συσκευών που σχετίζονται με τις διευθύνσεις IP σε αυτά τα εύρη είτε ότι μπορούν να κάνουν αντίπαλος-στη-μέση (AitM) ή αναχαίτιση από πλευράς εισβολέα στην υποδομή του συγκεκριμένου AS.
Τα στυλ υποκλοπής AitM θα ήταν δυνατά εάν οι εισβολείς –είτε το LuoYu είτε το Evasive Panda– ήταν σε θέση να διακινδυνεύσουν ευάλωτες συσκευές όπως δρομολογητές ή πύλες. Ως προηγούμενο, το 2019 Οι ερευνητές της ESET ανακάλυψαν ότι η κινεζική ομάδα APT γνωστή ως BlackTech εκτελούσε επιθέσεις AitM μέσω παραβιασμένων δρομολογητών ASUS και παρέδιδε το κακόβουλο λογισμικό Plead μέσω ενημερώσεων λογισμικού ASUS WebStorage.
Με πρόσβαση στην υποδομή κορμού ISP – μέσω νόμιμων ή παράνομων μέσων – το Evasive Panda θα μπορεί να υποκλέψει και να απαντήσει στα αιτήματα ενημέρωσης που εκτελούνται μέσω HTTP, ή ακόμη και να τροποποιήσει πακέτα εν κινήσει. Τον Απρίλιο του 2023, οι ερευνητές της Symantec αναφερθεί σχετικά με το Evasive Panda που στοχεύει έναν οργανισμό τηλεπικοινωνιών στην Αφρική.
Wrap-up
Τελικά, χωρίς περαιτέρω στοιχεία, δεν μπορούμε να αποδείξουμε ή να απορρίψουμε τη μία υπόθεση υπέρ της άλλης, δεδομένου ότι τέτοιες δυνατότητες είναι διαθέσιμες για κινεζικές ομάδες APT.
Εργαλειοθήκη
MgBot
Το MgBot είναι η κύρια κερκόπορτα των Windows που χρησιμοποιείται από το Evasive Panda, η οποία σύμφωνα με τα ευρήματά μας υπάρχει τουλάχιστον από το 2012 και, όπως αναφέρεται σε αυτήν την ανάρτηση ιστολογίου, ήταν δημόσια τεκμηριώθηκε στο VirusBulletin το 2014. Αναπτύχθηκε σε C++ με αντικειμενοστραφή σχεδιασμό και έχει τις δυνατότητες να επικοινωνεί μέσω TCP και UDP και να επεκτείνει τη λειτουργικότητά του μέσω modules plugin.
Το πρόγραμμα εγκατάστασης και η κερκόπορτα του MgBot, καθώς και η λειτουργικότητά τους, δεν έχουν αλλάξει σημαντικά από τότε που τεκμηριώθηκε για πρώτη φορά. Η αλυσίδα εκτέλεσής του είναι η ίδια που περιγράφεται σε αυτό αναφέρουν από την Malwarebytes από το 2020.
MgBot Plugins
Η αρθρωτή αρχιτεκτονική του MgBot του επιτρέπει να επεκτείνει τη λειτουργικότητά του λαμβάνοντας και αναπτύσσοντας μονάδες στο μηχάνημα που έχει παραβιαστεί. Ο Πίνακας 2 παραθέτει τα γνωστά πρόσθετα και τη λειτουργικότητά τους. Είναι σημαντικό να σημειωθεί ότι τα πρόσθετα δεν έχουν μοναδικούς εσωτερικούς αριθμούς αναγνώρισης. Ως εκ τούτου, τους αναγνωρίζουμε εδώ με τα ονόματά τους DLL στο δίσκο, τα οποία δεν έχουμε δει ποτέ να αλλάζουν.
Πίνακας 2. Λίστα αρχείων DLL πρόσθετων
Όνομα DLL προσθήκης | Επισκόπηση |
---|---|
Kstrcs.dll | Keylogger. Καταγράφει ενεργά τις πληκτρολογήσεις μόνο όταν το παράθυρο προσκηνίου ανήκει σε μια διεργασία με όνομα QQ.exe και ο τίτλος του παραθύρου ταιριάζει QQEdit. Ο πιθανός στόχος είναι η εφαρμογή συνομιλίας Tencent QQ. |
sebasek.dll | Κλέπης αρχείων. Διαθέτει ένα αρχείο διαμόρφωσης που επιτρέπει τη συλλογή αρχείων από διαφορετικές πηγές: σκληρούς δίσκους, μονάδες αντίχειρων USB και CD-ROM. καθώς και κριτήρια που βασίζονται στις ιδιότητες του αρχείου: το όνομα αρχείου πρέπει να περιέχει μια λέξη-κλειδί από μια προκαθορισμένη λίστα, το μέγεθος αρχείου πρέπει να είναι μεταξύ ενός καθορισμένου ελάχιστου και μέγιστου μεγέθους. |
Cbmrpa.dll | Καταγράφει κείμενο που αντιγράφεται στο πρόχειρο και καταγράφει πληροφορίες από το κλειδί μητρώου USBSTOR. |
pRsm.dll | Καταγράφει ροές ήχου εισόδου και εξόδου. |
mailLFPassword.dll | Κλέφτης διαπιστευτηρίων. Κλέβει διαπιστευτήρια από το λογισμικό πελάτη ηλεκτρονικού ταχυδρομείου Outlook και Foxmail. |
agentpwd.dll | Κλέφτης διαπιστευτηρίων. Κλέβει διαπιστευτήρια από Chrome, Opera, Firefox, Foxmail, QQBrowser, FileZilla και WinSCP, μεταξύ άλλων. |
qmsdp.dll | Ένα σύνθετο πρόσθετο σχεδιασμένο για να κλέβει το περιεχόμενο από τη βάση δεδομένων Tencent QQ που αποθηκεύει το ιστορικό μηνυμάτων του χρήστη. Αυτό επιτυγχάνεται με επιδιόρθωση στη μνήμη του στοιχείου λογισμικού KernelUtils.dll και ρίχνοντας ένα ψεύτικο userenv.dll dll. |
wcdbcrk.dll | Κλέφτης πληροφοριών για το Tencent WeChat. |
Gmck.dll | Πρόγραμμα κλοπής cookies για Firefox, Chrome και Edge. |
Η πλειονότητα των πρόσθετων έχουν σχεδιαστεί για να κλέβουν πληροφορίες από πολύ δημοφιλείς κινεζικές εφαρμογές όπως το QQ, το WeChat, το QQBrowser και το Foxmail – όλες εφαρμογές που αναπτύχθηκαν από την Tencent.
Συμπέρασμα
Ανακαλύψαμε μια καμπάνια που αποδίδουμε στον όμιλο Evasive Panda APT, στοχεύοντας χρήστες στην ηπειρωτική Κίνα, παρέχοντας το MgBot backdoor τους μέσω πρωτοκόλλων ενημέρωσης εφαρμογών από γνωστές κινεζικές εταιρείες. Αναλύσαμε επίσης τα πρόσθετα της κερκόπορτας MgBot και βρήκαμε ότι η πλειονότητα τους έχουν σχεδιαστεί για να κατασκοπεύουν χρήστες κινεζικού λογισμικού κλέβοντας διαπιστευτήρια και πληροφορίες.
IoC
Αρχεία
SHA-1 | Όνομα | Ανίχνευση | Περιγραφή |
---|---|---|---|
10FB52E4A3D5D6BDA0D22BB7C962BDE95B8DA3DD | wcdbcrk.dll | Win32/Agent.VFT | Πρόσθετο για κλοπή πληροφοριών MgBot. |
E5214AB93B3A1FC3993EF2B4AD04DFCC5400D5E2 | sebasek.dll | Win32/Agent.VFT | Προσθήκη κλοπής αρχείων MgBot. |
D60EE17418CC4202BB57909BEC69A76BD318EEB4 | kstrcs.dll | Win32/Agent.VFT | Πρόσθετο MgBot keylogger. |
2AC41FFCDE6C8409153DF22872D46CD259766903 | gmck.dll | Win32/Agent.VFT | Πρόσθετο για κλοπή cookie MgBot. |
0781A2B6EB656D110A3A8F60E8BCE9D407E4C4FF | qmsdp.dll | Win32/Agent.VFT | Πρόσθετο για κλοπή πληροφοριών MgBot. |
9D1ECBBE8637FED0D89FCA1AF35EA821277AD2E8 | pRsm.dll | Win32/Agent.VFT | Πρόσθετο λήψης ήχου MgBot. |
22532A8C8594CD8A3294E68CEB56ACCF37A613B3 | cbmrpa.dll | Win32/Agent.ABUJ | Προσθήκη λήψης κειμένου στο πρόχειρο MgBot. |
970BABE49945B98EFADA72B2314B25A008F75843 | agentpwd.dll | Win32/Agent.VFT | Πρόσθετο για κλοπή διαπιστευτηρίων MgBot. |
8A98A023164B50DEC5126EDA270D394E06A144FF | maillfpassword.dll | Win32/Agent.VFT | Πρόσθετο για κλοπή διαπιστευτηρίων MgBot. |
65B03630E186D9B6ADC663C313B44CA122CA2079 | QQUrlMgr_QQ88_4296.exe | Win32/Kryptik.HRRI | Πρόγραμμα εγκατάστασης MgBot. |
Δίκτυο
IP | Provider | Πρωτοεμφανίστηκε | Περιγραφή |
---|---|---|---|
122.10.88[.]226 | AS55933 Cloudie Limited | 2020-07-09 | Διακομιστής C&C MgBot. |
122.10.90[.]12 | AS55933 Cloudie Limited | 2020-09-14 | Διακομιστής C&C MgBot. |
Τεχνικές MITER ATT & CK
Αυτός ο πίνακας κατασκευάστηκε χρησιμοποιώντας έκδοση 12 του πλαισίου MITER ATT & CK.
Τακτική | ID | Όνομα | Περιγραφή |
---|---|---|---|
Ανάπτυξη πόρων | T1583.004 | Αποκτήστε υποδομή: Διακομιστής | Η Evasive Panda απέκτησε διακομιστές που θα χρησιμοποιηθούν για την υποδομή C&C. |
T1587.001 | Ανάπτυξη δυνατοτήτων: Κακόβουλο λογισμικό | Το Evasive Panda αναπτύσσει την προσαρμοσμένη κερκόπορτα MgBot και τα πρόσθετα, συμπεριλαμβανομένων των σκοτεινών φορτωτών. | |
Εκτέλεση | T1059.003 | Διερμηνέας εντολών και δέσμης ενεργειών: Windows Command Shell | Το πρόγραμμα εγκατάστασης του MgBot εκκινεί την υπηρεσία από αρχεία BAT με την εντολή καθαρή εκκίνηση AppMgmt |
T1106 | Το εγγενές API | Το πρόγραμμα εγκατάστασης του MgBot χρησιμοποιεί το CreateProcessInternalW API για εκτέλεση rundll32.exe για να φορτώσετε το DLL της κερκόπορτας. | |
T1569.002 | Υπηρεσίες συστήματος: Εκτέλεση υπηρεσίας | Το MgBot εκτελείται ως υπηρεσία των Windows. | |
Επιμονή | T1543.003 | Δημιουργία ή τροποποίηση διαδικασίας συστήματος: Υπηρεσία Windows | Το MgBot αντικαθιστά τη διαδρομή της υπάρχουσας υπηρεσίας διαχείρισης εφαρμογών DLL με τη δική του. |
Κλιμάκωση προνομίων | T1548.002 | Μηχανισμός ελέγχου ανύψωσης κατάχρησης: Παράκαμψη ελέγχου λογαριασμού χρήστη | Το MgBot εκτελεί UAC Bypass. |
Αμυντική υπεκφυγή | T1140 | Αποσυμφόρηση/Αποκωδικοποίηση αρχείων ή πληροφοριών | Το πρόγραμμα εγκατάστασης του MgBot αποκρυπτογραφεί ένα ενσωματωμένο αρχείο CAB που περιέχει το backdoor DLL. |
T1112 | Τροποποίηση μητρώου | Το MgBot τροποποιεί το μητρώο για επιμονή. | |
T1027 | Ασαφή αρχεία ή πληροφορίες | Το πρόγραμμα εγκατάστασης του MgBot περιέχει ενσωματωμένα αρχεία κακόβουλου λογισμικού και κρυπτογραφημένες συμβολοσειρές. Το MgBot περιέχει κρυπτογραφημένες συμβολοσειρές. Τα πρόσθετα MgBot περιέχουν ενσωματωμένα αρχεία DLL. | |
T1055.002 | Process Injection: Portable Executable Injection | Το MgBot μπορεί να εισάγει φορητά εκτελέσιμα αρχεία σε απομακρυσμένες διαδικασίες. | |
Πρόσβαση διαπιστευτηρίων | T1555.003 | Διαπιστευτήρια από καταστήματα κωδικών πρόσβασης: Διαπιστευτήρια από προγράμματα περιήγησης Ιστού | Μονάδα προσθήκης MgBot agentpwd.dll κλέβει διαπιστευτήρια από προγράμματα περιήγησης ιστού. |
T1539 | Κλέψτε το Cookie Web Session | Μονάδα προσθήκης MgBot Gmck.dll κλέβει μπισκότα. | |
Ανακάλυψη | T1082 | Ανακάλυψη πληροφοριών συστήματος | Το MgBot συλλέγει πληροφορίες συστήματος. |
T1016 | Ανακάλυψη διαμόρφωσης δικτύου συστήματος | Το MgBot έχει τη δυνατότητα ανάκτησης πληροφοριών δικτύου. | |
T1083 | Ανακάλυψη αρχείων και καταλόγου | Το MgBot έχει τη δυνατότητα δημιουργίας καταχωρίσεων αρχείων. | |
Συλλογή | T1056.001 | Καταγραφή εισόδου: Καταγραφή πληκτρολογίου | Μονάδα προσθήκης MgBot kstrcs.dll είναι keylogger. |
T1560.002 | Αρχειοθέτηση Συλλεγμένων Δεδομένων: Αρχειοθέτηση μέσω Βιβλιοθήκης | Μονάδα προσθήκης MgBot sebasek.dll χρησιμοποιεί το aPLib για τη συμπίεση αρχείων που έχουν ρυθμιστεί για εξαγωγή. | |
T1123 | Συλλογή ήχου | Μονάδα προσθήκης MgBot pRsm.dll συλλαμβάνει ροές ήχου εισόδου και εξόδου. | |
T1119 | Αυτοματοποιημένη Συλλογή | Οι μονάδες πρόσθετων του MgBot καταγράφουν δεδομένα από διάφορες πηγές. | |
T1115 | Δεδομένα Πρόχειρου | Μονάδα προσθήκης MgBot Cbmrpa.dll καταγράφει κείμενο που αντιγράφεται στο πρόχειρο. | |
T1025 | Δεδομένα από αφαιρούμενα μέσα | Μονάδα προσθήκης MgBot sebasek.dll συλλέγει αρχεία από αφαιρούμενα μέσα. | |
T1074.001 | Στάδιο δεδομένων: Τοποθέτηση τοπικών δεδομένων | Οι μονάδες πρόσθετων του MgBot τοποθετούν δεδομένα τοπικά στο δίσκο. | |
T1114.001 | Συλλογή Email: Τοπική Συλλογή Email | Οι μονάδες πρόσθετων του MgBot έχουν σχεδιαστεί για να κλέβουν διαπιστευτήρια και πληροφορίες email από διάφορες εφαρμογές. | |
T1113 | Οθόνη συλλαμβάνει | Το MgBot μπορεί να τραβήξει στιγμιότυπα οθόνης. | |
Διοίκησης και Ελέγχου | T1095 | Πρωτόκολλο μη επιπέδων εφαρμογής | Το MgBot επικοινωνεί με το C&C του μέσω πρωτοκόλλων TCP και UDP. |
εκδιήθησης | T1041 | Διήθηση πάνω από το κανάλι C2 | Το MgBot εκτελεί εξαγωγή των συλλεγόμενων δεδομένων μέσω C&C. |
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoAiStream. Web3 Data Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- Minting the Future με την Adryenn Ashley. Πρόσβαση εδώ.
- πηγή: https://www.welivesecurity.com/2023/04/26/evasive-panda-apt-group-malware-updates-popular-chinese-software/
- :έχει
- :είναι
- :δεν
- :που
- 000
- 1
- 10
- 100
- 2012
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 7
- 8
- 9
- a
- Ικανός
- Σχετικα
- πρόσβαση
- Σύμφωνα με
- Λογαριασμός
- επιτευχθεί
- αποκτήθηκαν
- δραστήρια
- δραστηριότητα
- Πρόσθετος
- διευθύνσεις
- Αφρική
- κατά
- αλγόριθμος
- Όλα
- επιτρέπει
- κατά μήκος
- Επίσης
- Αν και
- μεταξύ των
- ποσό
- an
- ανάλυση
- αναλύσει
- και
- κάθε
- api
- Εφαρμογή
- εφαρμογές
- Απρίλιος
- APT
- αρχιτεκτονική
- Αρχείο
- ΕΙΝΑΙ
- AS
- ασιάτης
- συσχετισμένη
- At
- επίθεση
- Επιθέσεις
- ήχου
- Αυτοματοποιημένη
- πίσω
- Σπονδυλική στήλη
- κερκόπορτα
- βασίζονται
- ΒΔΤ
- BE
- ήταν
- Πιστεύω
- ανήκει
- ΚΑΛΎΤΕΡΟΣ
- μεταξύ
- Μπλοκ
- και οι δύο
- πρόγραμμα περιήγησης
- browsers
- χτισμένο
- αλλά
- by
- C + +
- Εκστρατεία
- CAN
- δεν μπορώ
- δυνατότητες
- πιάνω
- συλλαμβάνει
- μεταφέρουν
- περίπτωση
- περιπτώσεις
- αλυσίδα
- αλλαγή
- κανάλια
- έλεγχος
- τετραγωνισμένος
- Κίνα
- κινέζικο
- Chrome
- πελάτης
- συστάδα
- κωδικός
- σύμπτωση
- συλλογή
- επικοινωνούν
- Εταιρείες
- εταίρα
- ανταγωνίζονται
- πλήρης
- συγκρότημα
- συστατικό
- συμβιβασμός
- Συμβιβασμένος
- Διεξαγωγή
- εμπιστοσύνη
- διαμόρφωση
- Επιβεβαιώνω
- επικοινωνήστε μαζί μας
- περιέχουν
- Περιέχει
- περιεχόμενο
- περιεχόμενα
- συνεχίζοντας
- έλεγχος
- μπισκότα
- θα μπορούσε να
- χώρες
- χώρα
- δημιουργία
- ΠΙΣΤΟΠΟΙΗΤΙΚΟ
- Διαπιστεύσεις
- κριτήρια
- έθιμο
- ημερομηνία
- βάση δεδομένων
- ορίζεται
- παραδώσει
- παραδίδεται
- παράδοση
- παραδίδει
- αναπτυχθεί
- ανάπτυξη
- περιγράφεται
- Υπηρεσίες
- σχεδιασμένα
- αναπτύχθηκε
- Εργολάβος
- αναπτύσσεται
- Συσκευές
- διαφορετικές
- ανακάλυψαν
- dns
- do
- domains
- Μην
- κατεβάσετε
- λήψεις
- Ρίψη
- κατά την διάρκεια
- Ανατολή
- άκρη
- είτε
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
- ενσωματωμένο
- δίνει τη δυνατότητα
- κρυπτογραφημένα
- ενίσχυση
- οντότητες
- Έρευνα ESET
- εγκατεστημένος
- Even
- απόδειξη
- εξέλιξη
- παράδειγμα
- παραδείγματα
- εκτελέσει
- Εκτελεί
- εκτέλεση
- διήθηση
- υφιστάμενα
- Εξηγήστε
- επεκτείνουν
- απομίμηση
- ευνοούν
- Εικόνα
- Αρχεία
- Αρχεία
- φιλτράρισμα
- Firefox
- Όνομα
- ναυαρχίδα
- Συγκέντρωση
- Για
- μορφή
- Βρέθηκαν
- Πλαίσιο
- από
- πλήρη
- λειτουργικότητα
- περαιτέρω
- τυχερών παιχνιδιών
- δημιουργεί
- δεδομένου
- Κυβέρνηση
- Κυβερνητικοί φορείς
- Group
- Ομάδα
- Guangdong
- είχε
- χέρι
- χασίσι
- Έχω
- εδώ
- Ψηλά
- υψηλότερο
- υψηλά
- ιστορία
- Χονγκ
- Hong Kong
- φιλοξενείται
- Πως
- Ωστόσο
- http
- HTTPS
- Αναγνώριση
- προσδιορίσει
- προσδιορισμό
- if
- παράνομος
- εκτέλεση
- υλοποιεί
- σημαντικό
- in
- Συμπεριλαμβανομένου
- Ινδία
- υποδεικνύεται
- άτομα
- πληροφορίες
- Υποδομή
- εισαγωγή
- εγκατασταθεί
- αντί
- οδηγίες
- εσωτερικός
- International
- σε
- εισαγάγει
- έρευνα
- IP
- Διευθύνσεις IP
- ISP
- IT
- ΤΟΥ
- Ιανουάριος
- Kaspersky
- Κλειδί
- γνώση
- γνωστός
- Κονγκ
- large
- ξεκινάει
- στρώμα
- Νομικά
- νομιμότητα
- νόμιμος
- Πιθανός
- Περιωρισμένος
- Λιστα
- Εισηγμένες
- Ακίνητα
- Λίστες
- λίγο
- φορτίο
- τοπικός
- τοπικά
- που βρίσκεται
- θέσεις
- μηχανή
- μηχανήματα
- ηπειρωτική χώρα
- Η πλειοψηφία
- Malaysia
- malware
- Malwarebytes
- διαχειρίζεται
- διαχείριση
- πολοί
- χάρτη
- Ταίριασμα
- max-width
- ανώτατο όριο
- MD5
- μέσα
- μηχανισμός
- Εικόνες / Βίντεο
- Μέλη
- που αναφέρθηκαν
- μήνυμα
- μέθοδοι
- ελάχιστο
- τροποποιήσει
- σπονδυλωτή
- Μονάδα μέτρησης
- ενότητες
- περισσότερο
- Μιανμάρ
- Ονομάστηκε
- ονόματα
- Φύση
- Ανάγκη
- που απαιτούνται
- κανενα απο τα δυο
- δίκτυο
- επόμενη
- ΜΚΟ
- Νιγηρία
- αριθμός
- αριθμοί
- of
- on
- ONE
- διαδικτυακά (online)
- online gaming
- αποκλειστικά
- Opera
- λειτουργεί
- or
- επιχειρήσεις
- οργανώσεις
- προέκυψε
- ΑΛΛΑ
- Άλλα
- δικός μας
- έξω
- θέα
- παραγωγή
- επί
- επισκόπηση
- δική
- πακέτα
- Ειδικότερα
- παθητικός
- Κωδικός Πρόσβασης
- Διόρθωση
- μονοπάτι
- εκτέλεση
- εκτελεί
- επιμονή
- Philippines
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- συνηγορώ
- συνδέω
- Plugins
- σημεία
- Δημοφιλής
- δυνατός
- Θέση
- παρόν
- προηγουμένως
- πρωταρχικός
- Ακμή
- διαδικασια μας
- Διεργασίες
- ιδιότητες
- πρωτόκολλα
- Αποδείξτε
- παρέχουν
- επαρχίες
- δημόσιο
- δημοσίως
- δημοσιεύθηκε
- καθαρώς
- Ερωτήσεις
- τυχαίος
- φθάσει
- Αναγνώστης
- λαμβάνω
- έλαβε
- λήψη
- αρχεία
- Ανάκτηση
- καταχωρηθεί
- μητρώου
- μακρινός
- απάντηση
- αναφέρουν
- Εκθέσεις
- αιτήματα
- έρευνα
- ερευνητές
- επιλυθεί
- απάντησης
- αποτέλεσμα
- s
- ίδιο
- σενάριο
- σενάρια
- screenshots
- τμήματα
- ασφάλεια
- δει
- Ακολουθία
- Διακομιστές
- υπηρεσία
- Υπηρεσίες
- Συνεδρίαση
- διάφοροι
- παρουσιάζεται
- Δείχνει
- σημαντικά
- παρόμοιες
- αφού
- Μέγεθος
- small
- Μ.Κ.Δ
- social media
- λογισμικό
- Πηγές
- ειδικά
- κερδοσκοπία
- Στάδιο
- Εκκίνηση
- Ξεκινήστε
- κλέβει
- Ακόμη
- καταστήματα
- ροές
- επιτυχής
- τέτοιος
- σύστημα
- τραπέζι
- Ταϊβάν
- Πάρτε
- στόχος
- στοχευμένες
- στόχευση
- στόχους
- Τσάι
- τηλεπικοινωνιών
- τηλεπικοινωνιών
- Tencent
- από
- ότι
- Η
- Οι Φιλιππίνες
- τους
- Τους
- τότε
- επομένως
- Αυτοί
- αυτοί
- αυτό
- εκείνοι
- Μέσω
- παντού
- ώρα
- Τίτλος
- προς την
- εργαλειοθήκη
- τύπος
- μοναδικός
- απρόσιτος
- Ενημέρωση
- ενημερώσεις
- URL
- usb
- χρήση
- μεταχειρισμένος
- Χρήστες
- Χρήστες
- χρησιμοποιώντας
- διάφορα
- πολύ
- μέσω
- Θύμα
- θύματα
- Vietnam
- Ευάλωτες
- ήταν
- we
- ιστός
- Περιηγητές ιστού
- ΛΟΙΠΌΝ
- πολύ γνωστό
- ήταν
- Τι
- πότε
- αν
- Ποιό
- ενώ
- ευρύς
- Wikipedia
- θα
- παράθυρα
- με
- χωρίς
- αξία
- θα
- γραφή
- XML
- zephyrnet