ESET Research เปิดเผยแคมเปญโดยกลุ่ม APT ที่รู้จักกันในชื่อ Evasive Panda ซึ่งกำหนดเป้าหมายองค์กรพัฒนาเอกชนระหว่างประเทศในประเทศจีนด้วยมัลแวร์ที่ส่งผ่านการอัปเดตซอฟต์แวร์ยอดนิยมของจีน
นักวิจัยของ ESET ได้ค้นพบแคมเปญที่เราอ้างถึงกลุ่ม APT ที่รู้จักกันในชื่อ Evasive Panda ซึ่งช่องทางการอัปเดตของแอปพลิเคชันที่ถูกกฎหมายถูกแย่งชิงอย่างลึกลับเพื่อส่งตัวติดตั้งสำหรับมัลแวร์ MgBot ซึ่งเป็นแบ็คดอร์หลักของ Evasive Panda
- ผู้ใช้ในจีนแผ่นดินใหญ่ตกเป็นเป้าหมายของมัลแวร์ที่ส่งผ่านการอัปเดตสำหรับซอฟต์แวร์ที่พัฒนาโดยบริษัทจีน
- เราวิเคราะห์สมมติฐานที่แข่งขันกันว่ามัลแวร์จะถูกส่งไปยังผู้ใช้เป้าหมายได้อย่างไร
- ด้วยความมั่นใจสูง เราถือว่ากิจกรรมนี้มาจากกลุ่ม Evasive Panda APT
- เราให้ภาพรวมของ MgBot ประตูหลังอันเป็นเอกลักษณ์ของ Evasive Panda และชุดเครื่องมือของโมดูลปลั๊กอิน
โปรไฟล์แพนด้าที่หลบเลี่ยง
แพนด้าที่หลบเลี่ยง (ยังเป็นที่รู้จักกันในนาม บรอนซ์ ไฮแลนด์ และ แด็กเกอร์ฟลาย) เป็นกลุ่ม APT ที่พูดภาษาจีน เปิดใช้งานอย่างน้อยตั้งแต่ปี 2012. ESET Research ได้สังเกตกลุ่มที่ทำการจารกรรมทางไซเบอร์กับบุคคลในจีนแผ่นดินใหญ่ ฮ่องกง มาเก๊า และไนจีเรีย หน่วยงานของรัฐมีเป้าหมายในประเทศจีน มาเก๊า และประเทศในเอเชียตะวันออกเฉียงใต้และเอเชียตะวันออก โดยเฉพาะเมียนมาร์ ฟิลิปปินส์ ไต้หวัน และเวียดนาม ในขณะที่องค์กรอื่นๆ ในจีนและฮ่องกงก็ตกเป็นเป้าหมายเช่นกัน ตามรายงานสาธารณะ กลุ่มนี้ได้กำหนดเป้าหมายไปยังหน่วยงานที่ไม่รู้จักในฮ่องกง อินเดีย และมาเลเซีย
กลุ่มใช้เฟรมเวิร์กมัลแวร์ที่กำหนดเองด้วยสถาปัตยกรรมโมดูลาร์ที่อนุญาตให้แบ็คดอร์หรือที่เรียกว่า MgBot รับโมดูลเพื่อสอดแนมเหยื่อและเพิ่มขีดความสามารถ
ภาพรวมของแคมเปญ
ในเดือนมกราคม 2022 เราพบว่าขณะดำเนินการอัปเดต แอปพลิเคชันภาษาจีนที่ถูกต้องตามกฎหมายได้รับตัวติดตั้งสำหรับแบ็คดอร์ Evasive Panda MgBot ในระหว่างการสืบสวนของเรา เราพบว่ากิจกรรมที่เป็นอันตรายย้อนกลับไปในปี 2020
ผู้ใช้ชาวจีนเป็นจุดสนใจของกิจกรรมที่เป็นอันตรายนี้ ซึ่ง ESET telemetry แสดงให้เห็นตั้งแต่ปี 2020 และต่อเนื่องตลอดปี 2021 ผู้ใช้เป้าหมายอยู่ในมณฑล Gansu, Guangdong และ Jiangsu ดังแสดงในรูปที่ 1
เหยื่อชาวจีนส่วนใหญ่เป็นสมาชิกของ NGO ระหว่างประเทศที่ดำเนินงานในสองจังหวัดที่กล่าวถึงก่อนหน้านี้
พบเหยื่อเพิ่มอีก XNUMX รายอยู่ในประเทศไนจีเรีย
การแสดงที่มา
Evasive Panda ใช้แบ็คดอร์แบบกำหนดเองที่เรียกว่า MgBot ซึ่งเคยเป็น เอกสารสาธารณะ ในปี 2014 และได้เห็นวิวัฒนาการเพียงเล็กน้อยตั้งแต่นั้นมา เท่าที่ทราบ กลุ่มอื่นไม่มีการใช้ประตูลับ ในกลุ่มกิจกรรมที่เป็นอันตรายนี้ มีเพียงมัลแวร์ MgBot เท่านั้นที่ถูกตรวจพบในเครื่องที่ตกเป็นเหยื่อ พร้อมด้วยชุดเครื่องมือของปลั๊กอิน ดังนั้น ด้วยความมั่นใจสูง เราจึงถือว่ากิจกรรมนี้มาจาก Evasive Panda
การวิเคราะห์ทางเทคนิค
ในระหว่างการตรวจสอบของเรา เราพบว่าเมื่อทำการอัปเดตอัตโนมัติ ส่วนประกอบซอฟต์แวร์แอปพลิเคชันที่ถูกต้องตามกฎหมายจะดาวน์โหลดตัวติดตั้งแบ็คดอร์ MgBot จาก URL และที่อยู่ IP ที่ถูกต้อง
ในตารางที่ 1 เราระบุ URL จากแหล่งที่มาของการดาวน์โหลด ตามข้อมูลการวัดและส่งข้อมูลทางไกลของ ESET รวมถึงที่อยู่ IP ของเซิร์ฟเวอร์ตามที่ระบบของผู้ใช้แก้ไขในขณะนั้น ดังนั้นเราจึงเชื่อว่าที่อยู่ IP เหล่านี้ถูกต้องตามกฎหมาย ตามบันทึก DNS แบบพาสซีฟ ที่อยู่ IP ทั้งหมดเหล่านี้ตรงกับโดเมนที่สังเกต ดังนั้นเราจึงเชื่อว่าที่อยู่ IP เหล่านี้ถูกต้องตามกฎหมาย
ตารางที่ 1 ตำแหน่งการดาวน์โหลดที่เป็นอันตรายตาม ESET telemetry
URL | เห็นครั้งแรก | IP โดเมน | ASN | ดาวน์โหลด |
---|---|---|---|---|
http://update.browser.qq[.]com/qmbs/QQ/QQUrlMgr_QQ88_4296.exe | 2020-11-02 | 123.151.72[.]74 | AS58542 | QQUrlMgr.exe QQ.exe QQLive.exe คิวคิวคอล .exe |
183.232.96[.]107 | AS56040 | |||
61.129.7[.]35 | AS4811 |
สมมติฐานของการประนีประนอม
เมื่อเราวิเคราะห์ความเป็นไปได้ของวิธีการต่างๆ ที่สามารถอธิบายวิธีที่ผู้โจมตีจัดการเพื่อส่งมัลแวร์ผ่านการอัปเดตที่ถูกต้อง เราเหลือสองสถานการณ์: การประนีประนอมในห่วงโซ่อุปทาน และการโจมตีของฝ่ายตรงข้ามที่อยู่ตรงกลาง สำหรับทั้งสองสถานการณ์ เราจะพิจารณาการโจมตีที่คล้ายคลึงกันโดยกลุ่ม APT อื่นๆ ที่พูดภาษาจีนด้วย
Tencent QQ เป็นบริการแชทและโซเชียลมีเดียยอดนิยมของจีน ในหัวข้อถัดไป เราจะใช้ตัวอัปเดตซอฟต์แวร์ไคลเอนต์ Tencent QQ Windows QQUrlMgr.exe (แสดงอยู่ในตารางที่ 1) สำหรับตัวอย่างของเรา เนื่องจากเรามีจำนวนการตรวจจับสูงสุดจากการดาวน์โหลดโดยคอมโพเนนต์เฉพาะนี้
สถานการณ์การประนีประนอมของซัพพลายเชน
จากลักษณะของการโจมตีที่เป็นเป้าหมาย เราคาดการณ์ว่าผู้โจมตีจำเป็นต้องประนีประนอมเซิร์ฟเวอร์การอัปเดต QQ เพื่อแนะนำกลไกในการระบุผู้ใช้เป้าหมายเพื่อส่งมัลแวร์ กรองผู้ใช้ที่ไม่ใช่เป้าหมายออกและส่งมอบการอัปเดตที่ถูกต้อง – เราลงทะเบียน กรณีที่ดาวน์โหลดการอัปเดตที่ถูกต้องผ่านโปรโตคอลเดียวกันที่ถูกละเมิด
แม้จะไม่ใช่กรณีของ Evasive Panda แต่ตัวอย่างสำคัญของการประนีประนอมประเภทนี้อยู่ในรายงานของเรา Operation NightScout: การโจมตีระบบซัพพลายเชนมีเป้าหมายที่เกมออนไลน์ในเอเชียซึ่งผู้โจมตีบุกรุกเซิร์ฟเวอร์อัปเดตของบริษัทผู้พัฒนาซอฟต์แวร์ในฮ่องกง ตามข้อมูลทางไกลของเรา ผู้ใช้มากกว่า 100,000 รายติดตั้งซอฟต์แวร์ BigNox แต่มีเพียงห้ารายเท่านั้นที่มีมัลแวร์ส่งผ่านการอัปเดต เราสงสัยว่าผู้โจมตีบุกรุก BigNox API บนเซิร์ฟเวอร์การอัปเดตเพื่อตอบกลับส่วนประกอบตัวอัปเดตบนเครื่องของผู้ใช้เป้าหมายด้วย URL ไปยังเซิร์ฟเวอร์ที่ผู้โจมตีโฮสต์มัลแวร์ ผู้ใช้ที่ไม่ใช่เป้าหมายถูกส่ง URL อัปเดตที่ถูกต้อง
จากข้อมูลก่อนหน้านี้ ในรูปที่ 2 เราแสดงให้เห็นว่าสถานการณ์การประนีประนอมของซัพพลายเชนอาจเกิดขึ้นได้อย่างไรตามการสังเกตในการวัดและส่งข้อมูลทางไกลของเรา ถึงกระนั้น เราต้องเตือนผู้อ่านว่านี่เป็นเพียงการคาดเดาเท่านั้น และอิงจากการวิเคราะห์แบบคงที่ของเราซึ่งมีข้อมูลที่จำกัดมากของ QQUrlMgr.exe (SHA-1: DE4CD63FD7B1576E65E79D1D10839D676ED20C2B).
เป็นที่น่าสังเกตว่าในระหว่างการวิจัยของเรา เราไม่สามารถเรียกตัวอย่างข้อมูล "อัปเดต" ของ XML ได้ ไม่ว่าจะเป็นตัวอย่าง XML ที่ถูกต้องหรือเป็นอันตราย จากเซิร์ฟเวอร์ที่ติดต่อโดย QQUrlMgr.exe. URL “update check” เป็นแบบฮาร์ดโค้ดในรูปแบบที่คลุมเครือในไฟล์ปฏิบัติการดังที่แสดงในรูปที่ 3
แก้ความสับสนแล้ว URL ตรวจสอบการอัปเดตที่สมบูรณ์คือ:
http://c.gj.qq[.]com/fcgi-bin/busxml?busid=20&supplyid=30088&guid=CQEjCF9zN8Zdyzj5S6F1MC1RGUtw82B7yL+hpt9/gixzExnawV3y20xaEdtektfo&dm=0
เซิร์ฟเวอร์ตอบสนองด้วยข้อมูลรูปแบบ XML ที่เข้ารหัสด้วย base64 และเข้ารหัสด้วยการใช้อัลกอริทึม TEA โดยใช้คีย์ 128 บิต ข้อมูลนี้มีคำแนะนำในการดาวน์โหลดและเรียกใช้ไฟล์ พร้อมด้วยข้อมูลอื่นๆ เนื่องจากคีย์ถอดรหัสเป็นแบบฮาร์ดโค้ดเช่นกัน ดังแสดงในรูปที่ 4 ผู้โจมตีอาจทราบคีย์ดังกล่าว
QQUrlMgr.exe จากนั้นดาวน์โหลดไฟล์ที่ระบุโดยไม่ได้เข้ารหัสผ่าน HTTP และแฮชเนื้อหาด้วยอัลกอริทึม MD5 ผลลัพธ์จะถูกตรวจสอบกับแฮชที่มีอยู่ในข้อมูล XML ของการตอบสนองการตรวจสอบการอัปเดตดังที่แสดงในรูปที่ 5 หากแฮชตรงกัน QQUrlMgr.exe เรียกใช้ไฟล์ที่ดาวน์โหลด สิ่งนี้ตอกย้ำสมมติฐานของเราที่ว่าผู้โจมตีจำเป็นต้องควบคุมกลไกฝั่งเซิร์ฟเวอร์ XML ในเซิร์ฟเวอร์อัปเดตเพื่อให้สามารถระบุแฮช MD5 ที่ถูกต้องของตัวติดตั้งมัลแวร์ได้
เราเชื่อว่าสถานการณ์นี้จะอธิบายข้อสังเกตของเรา อย่างไรก็ตาม มีคำถามมากมายที่ยังไม่ได้รับคำตอบ เราติดต่อกับ Tencent's ศูนย์ตอบกลับความปลอดภัย เพื่อยืนยันความถูกต้องของ URL แบบเต็มที่ดาวน์โหลดมัลแวร์ update.browser.qq[.]คอม คือ – ในขณะที่เขียน – ไม่สามารถเข้าถึงได้ แต่ Tencent ไม่สามารถยืนยันได้ว่า URL แบบเต็มนั้นถูกต้องหรือไม่
สถานการณ์ฝ่ายตรงข้ามที่อยู่ตรงกลาง
เมื่อวันที่ 2022-06-02 Kaspersky ได้เผยแพร่ การวิจัย รายงานเกี่ยวกับความสามารถของกลุ่ม LuoYu APT ที่พูดภาษาจีนและมัลแวร์ WinDealer เช่นเดียวกับที่เราสังเกตเห็นในกลุ่มเหยื่อ Evasive Panda นักวิจัยของพวกเขาพบว่าตั้งแต่ปี 2020 เหยื่อของ LuoYu ได้รับมัลแวร์ WinDealer ผ่านการอัปเดตผ่านแอปพลิเคชัน qgametool.exe ที่ถูกกฎหมายจาก PPTV ซอฟต์แวร์ที่พัฒนาโดยบริษัทจีน
WinDealer มีความสามารถในการทำให้งงงวย: แทนที่จะนำรายชื่อเซิร์ฟเวอร์ C&C ที่จัดตั้งขึ้นเพื่อติดต่อในกรณีที่ประนีประนอมสำเร็จ ระบบจะสร้างที่อยู่ IP แบบสุ่มใน 13.62.0.0/15 และ 111.120.0.0/14 ตั้งแต่ China Telecom AS4134 แม้จะเป็นเรื่องบังเอิญเล็กน้อย แต่เราสังเกตเห็นว่าที่อยู่ IP ของผู้ใช้ชาวจีนที่เป็นเป้าหมายในเวลาที่ได้รับมัลแวร์ MgBot นั้นอยู่ในช่วงที่อยู่ IP AS4134 และ AS4135
คำอธิบายที่เป็นไปได้สำหรับสิ่งที่เปิดใช้งานความสามารถเหล่านี้สำหรับโครงสร้างพื้นฐาน C&C คือ LuoYu ควบคุมอุปกรณ์จำนวนมากที่เกี่ยวข้องกับที่อยู่ IP ในช่วงเหล่านั้น หรือที่พวกเขาสามารถทำได้ ศัตรูที่อยู่ตรงกลาง (AitM) หรือการสกัดกั้นของผู้โจมตีบนโครงสร้างพื้นฐานของ AS นั้นๆ
รูปแบบการสกัดกั้นแบบ AitM จะเป็นไปได้หากผู้โจมตี – ไม่ว่าจะเป็น LuoYu หรือ Evasive Panda – สามารถประนีประนอมอุปกรณ์ที่มีช่องโหว่ เช่น เราเตอร์หรือเกตเวย์ ก่อนหน้านี้ในปี 2019 นักวิจัย ESET ค้นพบ ว่ากลุ่ม APT ของจีนที่รู้จักกันในชื่อ BlackTech ทำการโจมตี AitM ผ่านเราเตอร์ ASUS ที่ถูกบุกรุกและส่งมัลแวร์ Plead ผ่านการอัปเดตซอฟต์แวร์ ASUS WebStorage
ด้วยการเข้าถึงโครงสร้างพื้นฐานหลักของ ISP ไม่ว่าจะด้วยวิธีทางกฎหมายหรือผิดกฎหมาย Evasive Panda จะสามารถสกัดกั้นและตอบกลับคำขออัปเดตที่ดำเนินการผ่าน HTTP หรือแม้กระทั่งแก้ไขแพ็กเก็ตได้ทันที ในเดือนเมษายน 2023 นักวิจัยของไซแมนเทค รายงาน บน Evasive Panda ที่กำหนดเป้าหมายองค์กรโทรคมนาคมในแอฟริกา
ปรับตัวขึ้น
ท้ายที่สุดแล้ว หากไม่มีหลักฐานเพิ่มเติม เราไม่สามารถพิสูจน์หรือละทิ้งสมมติฐานข้อหนึ่งเพื่อสนับสนุนอีกข้อหนึ่งได้ เนื่องจากความสามารถดังกล่าวอยู่ในมือสำหรับกลุ่ม APT ของจีน
toolset
มก.บอต
MgBot เป็นแบ็คดอร์ Windows ตัวหลักที่ Evasive Panda ใช้ ซึ่งจากการค้นพบของเรามีมาตั้งแต่ปี 2012 เป็นอย่างน้อย และตามที่กล่าวไว้ในบล็อกโพสต์นี้ เผยแพร่สู่สาธารณะ บันทึกไว้ที่ VirusBulletin ในปี 2014. ได้รับการพัฒนาใน C++ ด้วยการออกแบบเชิงวัตถุ และมีความสามารถในการสื่อสารผ่าน TCP และ UDP และขยายการทำงานผ่านโมดูลปลั๊กอิน
ตัวติดตั้งและประตูหลังของ MgBot และฟังก์ชันการทำงานไม่ได้เปลี่ยนแปลงมากนักตั้งแต่มีการจัดทำเอกสารเป็นครั้งแรก ห่วงโซ่ของการดำเนินการเหมือนกับที่อธิบายไว้ในนี้ รายงาน โดย Malwarebytes จากปี 2020
ปลั๊กอิน MgBot
สถาปัตยกรรมโมดูลาร์ของ MgBot ช่วยให้สามารถขยายฟังก์ชันการทำงานโดยรับและปรับใช้โมดูลบนเครื่องที่ถูกบุกรุก ตารางที่ 2 แสดงรายการปลั๊กอินที่รู้จักและฟังก์ชันการทำงาน โปรดทราบว่าปลั๊กอินไม่มีหมายเลขประจำตัวภายในที่ไม่ซ้ำกัน ดังนั้นเราจึงระบุพวกเขาที่นี่ด้วยชื่อ DLL บนดิสก์ ซึ่งเราไม่เคยเห็นการเปลี่ยนแปลง
ตารางที่ 2. รายการไฟล์ DLL ของปลั๊กอิน
ชื่อปลั๊กอิน DLL | ขององค์กร |
---|---|
Kstrcs.dll | Keylogger มันจะบันทึกการกดแป้นพิมพ์เมื่อหน้าต่างเบื้องหน้าเป็นของกระบวนการที่ตั้งชื่อเท่านั้น QQ.exe และชื่อหน้าต่างตรงกัน QQแก้ไข. เป้าหมายน่าจะเป็นแอปพลิเคชันแชทของ Tencent QQ |
sebasek.dll | ตัวขโมยไฟล์ มีไฟล์คอนฟิกูเรชันที่ช่วยให้รวบรวมไฟล์จากแหล่งต่างๆ ได้: HDD, ธัมบ์ไดรฟ์ USB และซีดีรอม; เช่นเดียวกับเกณฑ์ตามคุณสมบัติของไฟล์: ชื่อไฟล์ต้องมีคีย์เวิร์ดจากรายการที่กำหนดไว้ล่วงหน้า ขนาดไฟล์ต้องอยู่ระหว่างขนาดต่ำสุดและสูงสุดที่กำหนดไว้ |
Cbmrpa.dll | จับข้อความที่คัดลอกไปยังคลิปบอร์ดและบันทึกข้อมูลจากรีจิสตรีคีย์ USBSTOR |
pRsm.dll | จับกระแสข้อมูลเสียงเข้าและออก |
mailLFPassword.dll | ผู้ขโมยข้อมูลรับรอง ขโมยข้อมูลประจำตัวจากซอฟต์แวร์ไคลเอนต์อีเมล Outlook และ Foxmail |
ตัวแทน pwd.dll | ผู้ขโมยข้อมูลรับรอง ขโมยข้อมูลรับรองจาก Chrome, Opera, Firefox, Foxmail, QQBrowser, FileZilla และ WinSCP เป็นต้น |
qmsdp.dll | ปลั๊กอินที่ซับซ้อนซึ่งออกแบบมาเพื่อขโมยเนื้อหาจากฐานข้อมูล Tencent QQ ที่เก็บประวัติข้อความของผู้ใช้ สิ่งนี้ทำได้โดยการแพตช์ส่วนประกอบซอฟต์แวร์ในหน่วยความจำ KernelUtils.dll และทิ้งของปลอม userenv.dll ไฟล์ DLL |
wcdbcrk.dll | นักขโมยข้อมูลสำหรับ Tencent WeChat |
Gmck.dll | ตัวขโมยคุกกี้สำหรับ Firefox, Chrome และ Edge |
ปลั๊กอินส่วนใหญ่ออกแบบมาเพื่อขโมยข้อมูลจากแอปพลิเคชันจีนที่ได้รับความนิยมอย่างสูง เช่น QQ, WeChat, QQBrowser และ Foxmail ซึ่งเป็นแอปพลิเคชันทั้งหมดที่พัฒนาโดย Tencent
สรุป
เราค้นพบแคมเปญที่เราอ้างถึงกลุ่ม Evasive Panda APT โดยกำหนดเป้าหมายผู้ใช้ในจีนแผ่นดินใหญ่ ส่ง MgBot แบ็คดอร์ผ่านอัปเดตโปรโตคอลของแอปพลิเคชันจากบริษัทจีนที่มีชื่อเสียง เรายังวิเคราะห์ปลั๊กอินของ MgBot แบ็คดอร์ และพบว่าปลั๊กอินส่วนใหญ่ออกแบบมาเพื่อสอดแนมผู้ใช้ซอฟต์แวร์จีนโดยการขโมยข้อมูลรับรองและข้อมูล
ไอโอซี
ไฟล์
SHA-1 | ชื่อไฟล์ | การตรวจพบ | รายละเอียด |
---|---|---|---|
10FB52E4A3D5D6BDA0D22BB7C962BDE95B8DA3DD | wcdbcrk.dll | Win32/Agent.VFT | ปลั๊กอินขโมยข้อมูล MgBot |
E5214AB93B3A1FC3993EF2B4AD04DFCC5400D5E2 | sebasek.dll | Win32/Agent.VFT | ปลั๊กอินขโมยไฟล์ MgBot |
D60EE17418CC4202BB57909BEC69A76BD318EEB4 | kstrcs.dll | Win32/Agent.VFT | ปลั๊กอิน MgBot คีย์ล็อกเกอร์ |
2AC41FFCDE6C8409153DF22872D46CD259766903 | gmck.dll | Win32/Agent.VFT | ปลั๊กอินตัวขโมยคุกกี้ MgBot |
0781A2B6EB656D110A3A8F60E8BCE9D407E4C4FF | qmsdp.dll | Win32/Agent.VFT | ปลั๊กอินขโมยข้อมูล MgBot |
9D1ECBBE8637FED0D89FCA1AF35EA821277AD2E8 | pRsm.dll | Win32/Agent.VFT | ปลั๊กอินบันทึกเสียง MgBot |
22532A8C8594CD8A3294E68CEB56ACCF37A613B3 | cbmrpa.dll | Win32/Agent.ABUJ | ปลั๊กอินจับภาพข้อความคลิปบอร์ด MgBot |
970BABE49945B98EFADA72B2314B25A008F75843 | ตัวแทน pwd.dll | Win32/Agent.VFT | ปลั๊กอินตัวขโมยข้อมูลรับรอง MgBot |
8A98A023164B50DEC5126EDA270D394E06A144FF | maillfpassword.dll | Win32/Agent.VFT | ปลั๊กอินตัวขโมยข้อมูลรับรอง MgBot |
65B03630E186D9B6ADC663C313B44CA122CA2079 | QQUrlMgr_QQ88_4296.exe | Win32/Kryptik.HRRI | โปรแกรมติดตั้ง MgBot |
เครือข่าย
IP | ผู้ให้บริการ | เห็นครั้งแรก | รายละเอียด |
---|---|---|---|
122.10.88[.]226 | AS55933 คลาวดี้ จำกัด | 2020-07-09 | เซิร์ฟเวอร์ MgBot C&C |
122.10.90[.]12 | AS55933 คลาวดี้ จำกัด | 2020-09-14 | เซิร์ฟเวอร์ MgBot C&C |
เทคนิค MITER ATT&CK
ตารางนี้ถูกสร้างขึ้นโดยใช้ 12 รุ่น ของกรอบงาน MITER ATT&CK.
ชั้นเชิง | ID | Name | รายละเอียด |
---|---|---|---|
การพัฒนาทรัพยากร | T1583.004 | รับโครงสร้างพื้นฐาน: เซิร์ฟเวอร์ | Evasive Panda ได้รับเซิร์ฟเวอร์เพื่อใช้สำหรับโครงสร้างพื้นฐาน C&C |
T1587.001 | พัฒนาความสามารถ: มัลแวร์ | Evasive Panda พัฒนาแบ็คดอร์และปลั๊กอิน MgBot แบบกำหนดเอง รวมถึงตัวโหลดที่ยุ่งเหยิง | |
การกระทำ | T1059.003 | ล่ามคำสั่งและสคริปต์: Windows Command Shell | โปรแกรมติดตั้งของ MgBot เรียกใช้บริการจากไฟล์ BAT ด้วยคำสั่ง เริ่มต้นสุทธิ AppMgmt |
T1106 | API ดั้งเดิม | โปรแกรมติดตั้งของ MgBot ใช้ไฟล์ CreateProcessInternalW API เพื่อดำเนินการ rundll32.exe เพื่อโหลดแบ็คดอร์ DLL | |
T1569.002 | บริการระบบ: การดำเนินการบริการ | MgBot ทำงานเป็นบริการ Windows | |
การติดตา | T1543.003 | สร้างหรือแก้ไขกระบวนการของระบบ: บริการ Windows | MgBot แทนที่เส้นทางของบริการการจัดการแอปพลิเคชัน DLL ที่มีอยู่ด้วยเส้นทางของตัวเอง |
การเลื่อนระดับสิทธิ์ | T1548.002 | กลไกการควบคุมระดับความสูงในทางที่ผิด: ข้ามการควบคุมบัญชีผู้ใช้ | MgBot ทำการบายพาส UAC |
การหลบหลีกการป้องกัน | T1140 | ถอดรหัสซอร์สโค้ดที่สร้างความสับสน/ถอดรหัสไฟล์หรือข้อมูล | โปรแกรมติดตั้งของ MgBot จะถอดรหัสไฟล์ CAB ที่ฝังตัวซึ่งมี DLL ลับๆ |
T1112 | แก้ไขรีจิสทรี | MgBot แก้ไขรีจิสทรีเพื่อการคงอยู่ | |
T1027 | ไฟล์หรือข้อมูลที่ทำให้สับสน | โปรแกรมติดตั้งของ MgBot มีไฟล์มัลแวร์ฝังตัวและสตริงที่เข้ารหัส MgBot มีสตริงที่เข้ารหัส ปลั๊กอิน MgBot มีไฟล์ DLL ฝังอยู่ | |
T1055.002 | การฉีดกระบวนการ: การฉีดปฏิบัติการแบบพกพา | MgBot สามารถฉีดไฟล์ Portable Executable ไปยังกระบวนการระยะไกล | |
การเข้าถึงข้อมูลประจำตัว | T1555.003 | ข้อมูลรับรองจากร้านค้ารหัสผ่าน: ข้อมูลรับรองจากเว็บเบราว์เซอร์ | โมดูลปลั๊กอิน MgBot ตัวแทน pwd.dll ขโมยข้อมูลรับรองจากเว็บเบราว์เซอร์ |
T1539 | ขโมยคุกกี้เซสชันของเว็บ | โมดูลปลั๊กอิน MgBot Gmck.dll ขโมยคุกกี้ | |
การค้นพบ | T1082 | การค้นพบข้อมูลระบบ | MgBot รวบรวมข้อมูลระบบ |
T1016 | การค้นพบการกำหนดค่าเครือข่ายระบบ | MgBot มีความสามารถในการกู้คืนข้อมูลเครือข่าย | |
T1083 | การค้นหาไฟล์และไดเรกทอรี | MgBot มีความสามารถในการสร้างรายชื่อไฟล์ | |
ชุด | T1056.001 | จับอินพุต: Keylogging | โมดูลปลั๊กอิน MgBot kstrcs.dll เป็นคีย์ล็อกเกอร์ |
T1560.002 | เก็บข้อมูลที่เก็บถาวร: เก็บถาวรผ่านห้องสมุด | โมดูลปลั๊กอินของ MgBot sebasek.dll ใช้ aPLib เพื่อบีบอัดไฟล์ที่จัดฉากสำหรับการกรอง | |
T1123 | จับภาพเสียง | โมดูลปลั๊กอินของ MgBot pRsm.dll จับกระแสข้อมูลเสียงเข้าและออก | |
T1119 | คอลเลกชันอัตโนมัติ | โมดูลปลั๊กอินของ MgBot ดักจับข้อมูลจากแหล่งต่างๆ | |
T1115 | ข้อมูลคลิปบอร์ด | โมดูลปลั๊กอินของ MgBot Cbmrpa.dll จับข้อความที่คัดลอกไปยังคลิปบอร์ด | |
T1025 | ข้อมูลจากสื่อที่ถอดออกได้ | โมดูลปลั๊กอินของ MgBot sebasek.dll รวบรวมไฟล์จากสื่อแบบถอดได้ | |
T1074.001 | Data Staged: การจัดเตรียมข้อมูลในเครื่อง | โมดูลปลั๊กอินของ MgBot แสดงข้อมูลในเครื่องบนดิสก์ | |
T1114.001 | การรวบรวมอีเมล: การรวบรวมอีเมลในพื้นที่ | โมดูลปลั๊กอินของ MgBot ได้รับการออกแบบมาเพื่อขโมยข้อมูลประจำตัวและข้อมูลอีเมลจากแอปพลิเคชันต่างๆ | |
T1113 | จับภาพหน้าจอ | MgBot สามารถจับภาพหน้าจอ | |
ควบคุมและสั่งการ | T1095 | โปรโตคอลเลเยอร์ที่ไม่ใช่แอปพลิเคชัน | MgBot สื่อสารกับ C&C ผ่านโปรโตคอล TCP และ UDP |
การกรอง | T1041 | การกรองผ่านช่อง C2 | MgBot ทำการกรองข้อมูลที่รวบรวมผ่าน C&C |
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตไอสตรีม. ข้อมูลอัจฉริยะ Web3 ขยายความรู้ เข้าถึงได้ที่นี่.
- การสร้างอนาคตโดย Adryenn Ashley เข้าถึงได้ที่นี่.
- ที่มา: https://www.welivesecurity.com/2023/04/26/evasive-panda-apt-group-malware-updates-popular-chinese-software/
- :มี
- :เป็น
- :ไม่
- :ที่ไหน
- 000
- 1
- 10
- 100
- 2012
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 7
- 8
- 9
- a
- สามารถ
- เกี่ยวกับเรา
- เข้า
- ตาม
- ลงชื่อเข้าใช้
- ประสบความสำเร็จ
- ที่ได้มา
- อย่างกระตือรือร้น
- อยากทำกิจกรรม
- เพิ่มเติม
- ที่อยู่
- แอฟริกา
- กับ
- ขั้นตอนวิธี
- ทั้งหมด
- ช่วยให้
- ตาม
- ด้วย
- แม้ว่า
- ในหมู่
- จำนวน
- an
- การวิเคราะห์
- วิเคราะห์
- และ
- ใด
- API
- การใช้งาน
- การใช้งาน
- เมษายน
- APT
- สถาปัตยกรรม
- เอกสารเก่า
- เป็น
- AS
- เอเชีย
- ที่เกี่ยวข้อง
- At
- โจมตี
- การโจมตี
- เสียง
- อัตโนมัติ
- กลับ
- กระดูกสันหลัง
- ประตูหลัง
- ตาม
- ค้างคาว
- BE
- รับ
- เชื่อ
- เป็น
- ที่ดีที่สุด
- ระหว่าง
- บล็อก
- ทั้งสอง
- เบราว์เซอร์
- เบราว์เซอร์
- สร้าง
- แต่
- by
- C + +
- รณรงค์
- CAN
- ไม่ได้
- ความสามารถในการ
- จับ
- จับ
- การปฏิบัติ
- กรณี
- กรณี
- โซ่
- เปลี่ยนแปลง
- ช่อง
- ตรวจสอบ
- ตรวจสอบแล้ว
- สาธารณรัฐประชาชนจีน
- ชาวจีน
- Chrome
- ไคลเอนต์
- Cluster
- รหัส
- ความซ้ำซ้อน
- ชุด
- สื่อสาร
- บริษัท
- บริษัท
- การแข่งขัน
- สมบูรณ์
- ซับซ้อน
- ส่วนประกอบ
- การประนีประนอม
- ที่ถูกบุกรุก
- การดำเนิน
- ความมั่นใจ
- องค์ประกอบ
- ยืนยัน
- ติดต่อเรา
- บรรจุ
- มี
- เนื้อหา
- เนื้อหา
- อย่างต่อเนื่อง
- ควบคุม
- คุ้กกี้
- ได้
- ประเทศ
- ประเทศ
- การสร้าง
- หนังสือรับรอง
- หนังสือรับรอง
- เกณฑ์
- ประเพณี
- ข้อมูล
- ฐานข้อมูล
- กำหนด
- ส่งมอบ
- ส่ง
- การส่งมอบ
- มอบ
- นำไปใช้
- ปรับใช้
- อธิบาย
- ออกแบบ
- ได้รับการออกแบบ
- พัฒนา
- ผู้พัฒนา
- พัฒนา
- อุปกรณ์
- ต่าง
- ค้นพบ
- DNS
- do
- โดเมน
- Dont
- ดาวน์โหลด
- ดาวน์โหลด
- ลดลง
- ในระหว่าง
- ตะวันออก
- ขอบ
- ทั้ง
- อีเมล
- ที่ฝัง
- ช่วยให้
- ที่มีการเข้ารหัส
- เสริม
- หน่วยงาน
- การวิจัย ESET
- ที่จัดตั้งขึ้น
- แม้
- หลักฐาน
- วิวัฒนาการ
- ตัวอย่าง
- ตัวอย่าง
- ดำเนินการ
- รัน
- การปฏิบัติ
- การกรอง
- ที่มีอยู่
- อธิบาย
- ขยายออก
- เทียม
- โปรดปราน
- รูป
- เนื้อไม่มีมัน
- ไฟล์
- กรอง
- Firefox
- ชื่อจริง
- เรือธง
- โฟกัส
- สำหรับ
- ฟอร์ม
- พบ
- กรอบ
- ราคาเริ่มต้นที่
- เต็ม
- ฟังก์ชั่น
- ต่อไป
- การเล่นเกม
- สร้าง
- กำหนด
- รัฐบาล
- หน่วยงานของรัฐ
- บัญชีกลุ่ม
- กลุ่ม
- กว่างตง
- มี
- มือ
- กัญชา
- มี
- โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม
- จุดสูง
- ที่สูงที่สุด
- อย่างสูง
- ประวัติ
- ฮ่องกง
- ฮ่องกง
- เป็นเจ้าภาพ
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- อย่างไรก็ตาม
- ที่ http
- HTTPS
- ประจำตัว
- แยกแยะ
- ระบุ
- if
- ที่ผิดกฎหมาย
- การดำเนินงาน
- การดำเนินการ
- สำคัญ
- in
- รวมทั้ง
- อินเดีย
- แสดงว่า
- บุคคล
- ข้อมูล
- โครงสร้างพื้นฐาน
- อินพุต
- การติดตั้ง
- แทน
- คำแนะนำการใช้
- ภายใน
- International
- เข้าไป
- แนะนำ
- การสอบสวน
- IP
- ที่อยู่ IP
- ISP
- IT
- ITS
- มกราคม
- Kaspersky
- คีย์
- ความรู้
- ที่รู้จักกัน
- ฮ่องกง
- ใหญ่
- การเปิดตัว
- ชั้น
- กฎหมาย
- ถูกต้องตามกฎหมาย
- ถูกกฎหมาย
- น่าจะ
- ถูก จำกัด
- รายการ
- จดทะเบียน
- รายชื่อ
- รายการ
- น้อย
- โหลด
- ในประเทศ
- ในท้องถิ่น
- ที่ตั้งอยู่
- วันหยุด
- เครื่อง
- เครื่อง
- แผ่นดินใหญ่
- ส่วนใหญ่
- มาเลเซีย
- มัลแวร์
- Malwarebytes
- การจัดการ
- การจัดการ
- หลาย
- แผนที่
- การจับคู่
- ความกว้างสูงสุด
- สูงสุด
- MD5
- วิธี
- กลไก
- ภาพบรรยากาศ
- สมาชิก
- กล่าวถึง
- ข่าวสาร
- วิธีการ
- ขั้นต่ำ
- แก้ไข
- โมดูลาร์
- โมดูล
- โมดูล
- ข้อมูลเพิ่มเติม
- พม่า
- ที่มีชื่อ
- ชื่อ
- ธรรมชาติ
- จำเป็นต้อง
- จำเป็น
- ค่า
- เครือข่าย
- ถัดไป
- เอกชน
- ประเทศไนจีเรีย
- จำนวน
- ตัวเลข
- of
- on
- ONE
- ออนไลน์
- เกมออนไลน์
- เพียง
- Opera
- ดำเนินการ
- or
- organizacja
- องค์กร
- ต้นตอ
- อื่นๆ
- ผลิตภัณฑ์อื่นๆ
- ของเรา
- ออก
- Outlook
- เอาท์พุต
- เกิน
- ภาพรวม
- ของตนเอง
- แพ็คเก็ต
- ในสิ่งที่สนใจ
- อยู่เฉยๆ
- รหัสผ่าน
- ปะ
- เส้นทาง
- รูปแบบไฟล์ PDF
- ที่มีประสิทธิภาพ
- ดำเนินการ
- วิริยะ
- ฟิลิปปินส์
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- วิงวอน
- เสียบเข้าไป
- ปลั๊กอิน
- จุด
- ยอดนิยม
- เป็นไปได้
- โพสต์
- นำเสนอ
- ก่อนหน้านี้
- ประถม
- สำคัญ
- กระบวนการ
- กระบวนการ
- คุณสมบัติ
- โปรโตคอล
- พิสูจน์
- ให้
- หัวเมือง
- สาธารณะ
- สาธารณชน
- การตีพิมพ์
- หมดจด
- คำถาม
- สุ่ม
- ถึง
- ผู้อ่าน
- รับ
- ที่ได้รับ
- การได้รับ
- บันทึก
- กู้
- ลงทะเบียน
- รีจิสทรี
- รีโมท
- ตอบ
- รายงาน
- รายงาน
- การร้องขอ
- การวิจัย
- นักวิจัย
- ได้รับการแก้ไข
- คำตอบ
- ผล
- s
- เดียวกัน
- สถานการณ์
- สถานการณ์
- ภาพหน้าจอ
- ส่วน
- ความปลอดภัย
- เห็น
- ลำดับ
- เซิร์ฟเวอร์
- บริการ
- บริการ
- เซสชั่น
- หลาย
- แสดง
- แสดงให้เห็นว่า
- อย่างมีความหมาย
- คล้ายคลึงกัน
- ตั้งแต่
- ขนาด
- เล็ก
- สังคม
- โซเชียลมีเดีย
- ซอฟต์แวร์
- แหล่งที่มา
- เฉพาะ
- การเก็งกำไร
- ระยะ
- เริ่มต้น
- ที่เริ่มต้น
- ขโมย
- ยังคง
- ร้านค้า
- ลำธาร
- ที่ประสบความสำเร็จ
- อย่างเช่น
- ระบบ
- ตาราง
- ไต้หวัน
- เอา
- เป้า
- เป้าหมาย
- กำหนดเป้าหมาย
- เป้าหมาย
- ชา
- โทรคมนาคม
- โทรคมนาคม
- Tencent
- กว่า
- ที่
- พื้นที่
- ฟิลิปปินส์
- ของพวกเขา
- พวกเขา
- แล้วก็
- ดังนั้น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- นี้
- เหล่านั้น
- ตลอด
- ตลอด
- เวลา
- ชื่อหนังสือ
- ไปยัง
- เครื่องมือ
- ชนิด
- เป็นเอกลักษณ์
- ไม่สามารถเข้าถึงได้
- บันทึก
- การปรับปรุง
- URL
- USB
- ใช้
- มือสอง
- ผู้ใช้งาน
- ผู้ใช้
- การใช้
- ต่างๆ
- มาก
- ผ่านทาง
- เหยื่อ
- ผู้ที่ตกเป็นเหยื่อ
- เวียดนาม
- อ่อนแอ
- คือ
- we
- เว็บ
- เว็บเบราเซอร์
- ดี
- โด่งดัง
- คือ
- อะไร
- เมื่อ
- ว่า
- ที่
- ในขณะที่
- กว้าง
- วิกิพีเดีย
- จะ
- หน้าต่าง
- กับ
- ไม่มี
- คุ้มค่า
- จะ
- การเขียน
- XML
- ลมทะเล