ESET Research 发现了名为 Evasive Panda 的 APT 组织针对中国的一家国际非政府组织开展的活动,其恶意软件通过流行的中国软件更新传播
ESET 研究人员发现了一个活动,我们将其归因于称为 Evasive Panda 的 APT 组织,其中合法应用程序的更新通道被神秘地劫持,以提供 MgBot 恶意软件的安装程序,这是 Evasive Panda 的旗舰后门。
- 中国大陆的用户成为通过更新中国公司开发的软件而传播的恶意软件的目标。
- 我们分析了恶意软件如何传递给目标用户的竞争假设。
- 我们非常有信心地将此活动归因于 Evasive Panda APT 组。
- 我们概述了 Evasive Panda 的签名后门 MgBot 及其插件模块工具包。
躲猫猫简介
回避熊猫 (也称为 青铜高地 和 蜻蜓) 是一个讲中文的APT组织, 至少从 2012 年开始活跃. ESET Research 观察到该组织对中国大陆、香港、澳门和尼日利亚的个人进行网络间谍活动。 目标是中国、澳门、东南亚和东亚国家的政府实体,特别是缅甸、菲律宾、台湾和越南,同时中国和香港的其他组织也成为目标。 根据公开报道,该组织还针对香港、印度和马来西亚的不明实体。
该组织使用模块化架构实施自己的自定义恶意软件框架,允许其后门(称为 MgBot)接收模块以监视其受害者并增强其功能。
活动概览
2022 年 2020 月,我们发现在执行更新时,一个合法的中文应用程序收到了 Evasive Panda MgBot 后门的安装程序。 在我们的调查过程中,我们发现恶意活动可以追溯到 XNUMX 年。
中国用户是此恶意活动的重点,ESET 遥测显示从 2020 年开始一直持续到 2021 年。目标用户位于甘肃、广东和江苏省,如图 1 所示。
大多数中国受害者是在上述两个省开展活动的国际非政府组织的成员。
还发现另一名受害者位于尼日利亚。
归因
Evasive Panda 使用一个名为 MgBot 的自定义后门,它是 公开记录 2014 年,此后几乎没有什么变化; 据我们所知,该后门尚未被任何其他团体使用。 在这个恶意活动集群中,只观察到 MgBot 恶意软件及其插件工具包部署在受害机器上。 因此,我们非常有信心地将此活动归因于 Evasive Panda。
技术分析
在调查过程中,我们发现在执行自动更新时,合法的应用程序软件组件会从合法的 URL 和 IP 地址下载 MgBot 后门安装程序。
在表 1 中,我们根据 ESET 遥测数据提供了下载来源的 URL,包括用户系统当时解析的服务器 IP 地址; 因此,我们认为这些 IP 地址是合法的。 根据被动 DNS 记录,所有这些 IP 地址都与观察到的域匹配,因此我们认为这些 IP 地址是合法的。
表 1. 根据 ESET 遥测的恶意下载位置
网址 | 第一次见到 | 域名IP | ASN | 下载 |
---|---|---|---|---|
http://update.browser.qq[.]com/qmbs/QQ/QQUrlMgr_QQ88_4296.exe | 2020-11-02 | 123.151.72[.]74 | AS58542 | QQrlMgr.exe QQ.exe QQ直播软件 QQ电话。EXE文件 |
183.232.96[.]107 | AS56040 | |||
61.129.7[.]35 | AS4811 |
妥协的假设
当我们分析可以解释攻击者如何通过合法更新传播恶意软件的几种方法的可能性时,我们面临两种情况:供应链妥协和中间人攻击。 对于这两种情况,我们还将考虑其他说中文的 APT 组织进行类似攻击的前因。
腾讯 QQ 是一种流行的中文聊天和社交媒体服务。 在接下来的章节中,我们将使用腾讯 QQ Windows 客户端软件更新程序, QQrlMgr.exe (在表 1 中列出),对于我们的示例,假设我们从该特定组件的下载中检测到的数量最多。
供应链妥协场景
鉴于攻击的目标性质,我们推测攻击者需要破坏 QQ 更新服务器以引入一种机制来识别目标用户以向他们提供恶意软件,过滤掉非目标用户并向他们提供合法更新——我们注册了通过相同的滥用协议下载合法更新的情况。
虽然不是 Evasive Panda 案例,但我们的报告中是此类妥协的主要示例 Operation NightScout:针对亚洲在线游戏的供应链攻击,攻击者破坏了位于香港的软件开发商公司的更新服务器。 根据我们的遥测,超过 100,000 名用户安装了 BigNox 软件,但只有五名用户通过更新传播了恶意软件。 我们怀疑攻击者破坏了更新服务器上的 BigNox API,以使用指向攻击者托管其恶意软件的服务器的 URL 回复目标用户机器上的更新程序组件; 向非目标用户发送了合法的更新 URL。
基于该先例,在图 2 中,我们根据遥测中的观察结果说明了供应链妥协场景是如何展开的。 不过,我们必须警告读者,这纯粹是推测,是基于我们的静态分析,信息非常有限, QQrlMgr.exe (SHA-1: DE4CD63FD7B1576E65E79D1D10839D676ED20C2B).
同样值得注意的是,在我们的研究过程中,我们从未能够从与我们联系的服务器中检索到 XML“更新”数据的样本——既不是合法的也不是恶意的 XML 样本。 QQrlMgr.exe. “更新检查”URL 以混淆的形式硬编码在可执行文件中,如图 3 所示。
去混淆后,完整的更新检查 URL 为:
http://c.gj.qq[.]com/fcgi-bin/busxml?busid=20&supplyid=30088&guid=CQEjCF9zN8Zdyzj5S6F1MC1RGUtw82B7yL+hpt9/gixzExnawV3y20xaEdtektfo&dm=0
服务器响应使用 base64 编码的 XML 格式数据,并使用 128 位密钥通过 TEA 算法的实现进行加密。 此数据包含下载和执行文件的说明以及其他信息。 由于解密密钥也是硬编码的,如图 4 所示,攻击者可能知道它。
QQrlMgr.exe 然后通过 HTTP 下载未加密的指定文件,并使用 MD5 算法散列其内容。 结果根据更新检查响应 XML 数据中存在的散列进行检查,如图 5 所示。如果散列匹配, QQrlMgr.exe 执行下载的文件。 这强化了我们的假设,即攻击者需要控制更新服务器中的 XML 服务器端机制才能提供恶意软件安装程序的正确 MD5 哈希值。
我们相信这种情况可以解释我们的观察结果; 然而,许多问题仍未得到解答。 我们联系了腾讯的 安全响应中心 确认下载恶意软件的完整 URL 的合法性; 更新.浏览器.qq[.]com 在撰写本文时无法访问,但腾讯无法确认完整 URL 是否合法。
中间对手场景
2022-06-02,卡巴斯基发布了一个 研究 报告了讲中文的 LuoYu APT 组织及其 WinDealer 恶意软件的能力。 与我们在这个 Evasive Panda 受害者集群上观察到的情况类似,他们的研究人员发现,自 2020 年以来,LuoYu 的受害者通过合法应用程序 qgametool.exe 的更新收到了 WinDealer 恶意软件。 PPTV 软件,也是由一家中国公司开发的。
WinDealer 有一个令人费解的功能:它不会携带已建立的 C&C 服务器列表以在成功入侵时联系,而是在 13.62.0.0/15 和 111.120.0.0/14 范围从中国电信AS4134。 虽然是一个小巧合,但我们注意到目标中国用户在收到 MgBot 恶意软件时的 IP 地址位于 AS4134 和 AS4135 IP 地址范围内。
对于是什么为其 C&C 基础设施启用这些功能的可能解释是 LuoYu 要么控制大量与这些范围内的 IP 地址关联的设备,要么他们能够做到 中间对手 (AitM) 或攻击者在该特定 AS 基础设施上的拦截。
如果攻击者——LuoYu 或 Evasive Panda——能够破坏路由器或网关等易受攻击的设备,则 AitM 风格的拦截是可能的。 作为前因,2019年 ESET研究人员发现 被称为 BlackTech 的中国 APT 组织正在通过受感染的华硕路由器执行 AitM 攻击,并通过华硕 WebStorage 软件更新传播 Plead 恶意软件。
通过合法或非法手段访问 ISP 骨干基础设施,Evasive Panda 将能够拦截和回复通过 HTTP 执行的更新请求,甚至即时修改数据包。 2023 年 XNUMX 月,赛门铁克研究人员 报道 关于针对非洲电信组织的 Evasive Panda。
总结
最终,在没有进一步证据的情况下,我们无法证明或放弃一个假设以支持另一个假设,因为中国 APT 组织已经具备这种能力。
工具箱
镁光机器人
MgBot 是 Evasive Panda 使用的主要 Windows 后门,根据我们的调查结果,它至少从 2012 年就存在了,并且正如这篇博文中提到的那样,它是公开的 2014 年记录在 VirusBulletin. 它是用面向对象设计的C++开发的,具有通过TCP和UDP进行通信的能力,并通过插件模块扩展其功能。
MgBot 的安装程序和后门及其功能自首次记录以来未发生重大变化。 它的执行链与本文中描述的相同 报告 由 Malwarebytes 从 2020 年开始。
MgBot 插件
MgBot 的模块化架构允许它通过在受感染机器上接收和部署模块来扩展其功能。 表 2 列出了已知的插件及其功能。 重要的是要注意插件没有唯一的内部标识号; 因此我们在这里通过它们在磁盘上的 DLL 名称来识别它们,我们从未见过这些名称发生变化。
表 2. 插件 DLL 文件列表
插件 DLL 名称 | 概述 |
---|---|
Kstrcs.dll | 键盘记录器。 它仅在前台窗口属于名为的进程时才主动记录击键 QQ.exe 并且窗口标题匹配 QQ编辑. 它的目标很可能是腾讯 QQ 聊天应用程序。 |
dll | 文件窃取者。 有一个配置文件,可以从不同来源收集文件:HDD、USB 拇指驱动器和 CD-ROM; 以及基于文件属性的标准:文件名必须包含预定义列表中的关键字,文件大小必须在定义的最小和最大大小之间。 |
cbmrpa.dll | 捕获复制到剪贴板的文本并记录来自 USBSTOR 注册表项的信息。 |
pRsm.dll | 捕获输入和输出音频流。 |
mailLF密码.dll | 凭据窃取者。 从 Outlook 和 Foxmail 电子邮件客户端软件窃取凭据。 |
代理密码.dll | 凭据窃取者。 从 Chrome、Opera、Firefox、Foxmail、QQBrowser、FileZilla 和 WinSCP 等窃取凭据。 |
qmsdp.dll | 一个复杂的插件,旨在从存储用户消息历史记录的腾讯 QQ 数据库中窃取内容。 这是通过软件组件的内存修补实现的 内核实用程序.dll 并丢下假货 用户环境.dll DLL。 |
dll文件 | 腾讯微信的信息窃取器。 |
DLL文件 | 适用于 Firefox、Chrome 和 Edge 的 Cookie 窃取器。 |
大多数插件旨在从非常流行的中国应用程序(如 QQ、微信、QQBrowser 和 Foxmail)中窃取信息——所有这些应用程序都是腾讯开发的。
结论
我们发现了一个活动,我们将其归因于 Evasive Panda APT 组织,该组织针对中国大陆的用户,通过来自中国知名公司的应用程序更新协议提供他们的 MgBot 后门。 我们还分析了 MgBot 后门的插件,发现其中大多数插件旨在通过窃取凭据和信息来监视中国软件的用户。
国际石油公司
档
SHA-1 | 文件名 | 检测 | 课程描述 |
---|---|---|---|
10FB52E4A3D5D6BDA0D22BB7C962BDE95B8DA3DD | dll文件 | Win32/代理.VFT | MgBot 信息窃取插件。 |
E5214AB93B3A1FC3993EF2B4AD04DFCC5400D5E2 | dll | Win32/代理.VFT | MgBot 文件窃取插件。 |
D60EE17418CC4202BB57909BEC69A76BD318EEB4 | kstrcs.dll | Win32/代理.VFT | MgBot 键盘记录器插件。 |
2AC41FFCDE6C8409153DF22872D46CD259766903 | dll文件 | Win32/代理.VFT | MgBot cookie 窃取插件。 |
0781A2B6EB656D110A3A8F60E8BCE9D407E4C4FF | qmsdp.dll | Win32/代理.VFT | MgBot 信息窃取插件。 |
9D1ECBBE8637FED0D89FCA1AF35EA821277AD2E8 | pRsm.dll | Win32/代理.VFT | MgBot 音频采集插件。 |
22532A8C8594CD8A3294E68CEB56ACCF37A613B3 | cbmrpa.dll | Win32/代理.ABUJ | MgBot 剪贴板文本捕获插件。 |
970BABE49945B98EFADA72B2314B25A008F75843 | 代理密码.dll | Win32/代理.VFT | MgBot 凭证窃取插件。 |
8A98A023164B50DEC5126EDA270D394E06A144FF | 邮件密码.dll | Win32/代理.VFT | MgBot 凭证窃取插件。 |
65B03630E186D9B6ADC663C313B44CA122CA2079 | QQrlMgr_QQ88_4296.exe | Win32/Kryptik.HRRI | MgBot 安装程序。 |
商业网络
IP | Provider | 初见 | 更多信息 |
---|---|---|---|
122.10.88[.]226 | AS55933 Cloudie有限公司 | 2020-07-09 | MgBot C&C 服务器。 |
122.10.90[.]12 | AS55933 Cloudie有限公司 | 2020-09-14 | MgBot C&C 服务器。 |
MITRE ATT&CK 技术
该表是使用 12版 MITRE ATT&CK 框架.
战术 | ID | 名字 | 课程描述 |
---|---|---|---|
资源开发 | T1583.004 | 获取基础设施:服务器 | Evasive Panda 收购了用于 C&C 基础设施的服务器。 |
T1587.001 | 开发能力:恶意软件 | Evasive Panda 开发其定制的 MgBot 后门和插件,包括混淆加载程序。 | |
执行 | T1059.003 | 命令和脚本解释器:Windows 命令外壳 | MgBot 的安装程序使用命令从 BAT 文件启动服务 净启动 AppMgmt |
T1106 | 原生API | MgBot 的安装程序使用 创建进程内部W 执行的API rundll32.exe 加载后门DLL。 | |
T1569.002 | 系统服务:服务执行 | MgBot 作为 Windows 服务执行。 | |
坚持 | T1543.003 | 创建或修改系统进程:Windows 服务 | MgBot 将现有应用程序管理服务 DLL 的路径替换为自己的路径。 |
特权升级 | T1548.002 | 滥用提升控制机制:绕过用户帐户控制 | MgBot 执行 UAC 旁路。 |
防御规避 | T1140 | 去混淆/解码文件或信息 | MgBot 的安装程序会解密包含后门 DLL 的嵌入式 CAB 文件。 |
T1112 | 修改注册表 | MgBot 修改注册表以实现持久化。 | |
T1027 | 混淆的文件或信息 | MgBot 的安装程序包含嵌入式恶意软件文件和加密字符串。 MgBot 包含加密字符串。 MgBot 插件包含嵌入式 DLL 文件。 | |
T1055.002 | 进程注入:可移植可执行注入 | MgBot 可以将可移植可执行文件注入远程进程。 | |
凭证访问 | T1555.003 | 来自密码存储的凭据:来自 Web 浏览器的凭据 | MgBot插件模块 代理密码.dll 从网络浏览器窃取凭证。 |
T1539 | 窃取网络会话 Cookie | MgBot插件模块 DLL文件 偷饼干。 | |
药物发现 | T1082 | 系统信息发现 | MgBot 收集系统信息。 |
T1016 | 系统网络配置发现 | MgBot 具有恢复网络信息的能力。 | |
T1083 | 文件和目录发现 | MgBot 具有创建文件列表的能力。 | |
购物 | T1056.001 | 输入捕获:键盘记录 | MgBot插件模块 kstrcs.dll 是一个键盘记录器。 |
T1560.002 | 归档收集的数据:通过图书馆归档 | MgBot的插件模块 dll 使用 aPLib 压缩为渗出准备的文件。 | |
T1123 | 音频捕获 | MgBot的插件模块 pRsm.dll 捕获输入和输出音频流。 | |
T1119 | 自动收集 | MgBot 的插件模块从各种来源捕获数据。 | |
T1115 | 剪贴板数据 | MgBot的插件模块 cbmrpa.dll 捕获复制到剪贴板的文本。 | |
T1025 | 来自可移动媒体的数据 | MgBot的插件模块 dll 从可移动媒体收集文件。 | |
T1074.001 | 数据暂存:本地数据暂存 | MgBot 的插件模块在本地磁盘上暂存数据。 | |
T1114.001 | 电子邮件收集:本地电子邮件收集 | MgBot 的插件模块旨在从多个应用程序中窃取凭据和电子邮件信息。 | |
T1113 | 屏幕录制 | MgBot 可以捕获屏幕截图。 | |
指挥和控制 | T1095 | 非应用层协议 | MgBot 通过 TCP 和 UDP 协议与其 C&C 通信。 |
渗出 | T1041 | 通过 C2 通道进行渗透 | MgBot 通过 C&C 执行收集的数据外泄。 |
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图爱流。 Web3 数据智能。 知识放大。 访问这里。
- 与 Adryenn Ashley 一起铸造未来。 访问这里。
- Sumber: https://www.welivesecurity.com/2023/04/26/evasive-panda-apt-group-malware-updates-popular-chinese-software/
- :具有
- :是
- :不是
- :在哪里
- 000
- 1
- 10
- 100
- 2012
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 7
- 8
- 9
- a
- Able
- 关于
- ACCESS
- 根据
- 账号管理
- 实现
- 后天
- 积极地
- 活动
- 额外
- 地址
- 非洲
- 驳
- 算法
- 所有类型
- 允许
- 沿
- 还
- 尽管
- 其中
- 量
- an
- 分析
- 分析
- 和
- 任何
- API
- 应用领域
- 应用领域
- 四月
- APT
- 架构
- 档案
- 保健
- AS
- 亚洲的
- 相关
- At
- 攻击
- 攻击
- 音频
- 自动化
- 背部
- 骨干
- 后门
- 基于
- 蝙蝠
- BE
- 很
- 相信
- 属于
- 最佳
- 之间
- 博客
- 都
- 浏览器
- 浏览器
- 建
- 但是
- by
- C + +中
- 营销活动
- CAN
- 不能
- 能力
- 捕获
- 捕获
- 携带
- 案件
- 例
- 链
- 更改
- 通道
- 查
- 检查
- 中国
- 中文
- 铬
- 客户
- 簇
- 码
- 巧合
- 采集
- 通信
- 公司
- 公司
- 竞争
- 完成
- 复杂
- 元件
- 妥协
- 妥协
- 开展
- 信心
- 配置
- 确认
- CONTACT
- 包含
- 包含
- 内容
- Contents
- 继续
- 控制
- 曲奇饼
- 可以
- 国家
- 国家
- 创造
- 凭据
- 资历
- 标准
- 习俗
- data
- 数据库
- 定义
- 交付
- 提升
- 交付
- 提供
- 部署
- 部署
- 描述
- 设计
- 设计
- 发达
- 开发商
- 发展
- 设备
- 不同
- 发现
- DNS
- do
- 域名
- 别
- 下载
- 下载
- 删除
- ,我们将参加
- 东部
- 边缘
- 或
- 邮箱地址
- 嵌入式
- 使
- 加密
- 提高
- 实体
- ESET研究
- 成熟
- 甚至
- 证据
- 进化
- 例子
- 例子
- 执行
- 执行
- 执行
- 渗出
- 现有
- 说明
- 延长
- 假
- 赞成
- 数字
- 文件
- 档
- 过滤
- 火狐
- 姓氏:
- 旗舰
- 专注焦点
- 针对
- 申请
- 发现
- 骨架
- 止
- ,
- 功能
- 进一步
- 赌博
- 产生
- 特定
- 政府
- 政府实体
- 团队
- 组的
- 广东
- 民政事务总署
- 手
- 哈希
- 有
- 相关信息
- 高
- 最高
- 高度
- 历史
- 香
- 香港
- 托管
- 创新中心
- 但是
- HTTP
- HTTPS
- 鉴定
- 鉴定
- 确定
- if
- 不法
- 履行
- 器物
- 重要
- in
- 包含
- 印度
- 表示
- 个人
- 信息
- 基础设施
- 输入
- 安装
- 代替
- 说明
- 内部
- 国际
- 成
- 介绍
- 调查
- IP
- IP地址
- ISP
- IT
- 它的
- 一月
- 卡巴斯基
- 键
- 知识
- 已知
- 香港
- 大
- 启动
- 层
- 法律咨询
- 合法
- 合法
- 容易
- 有限
- 清单
- 已发布
- 房源
- 书单
- 小
- 加载
- 本地
- 当地
- 位于
- 地点
- 机
- 机
- 大陆
- 多数
- 马来西亚
- 恶意软件
- 的Malwarebytes
- 管理
- 颠覆性技术
- 许多
- 地图
- 匹配
- 最大宽度
- 最多
- MD5
- 手段
- 机制
- 媒体
- 成员
- 提到
- 的话
- 方法
- 最低限度
- 修改
- 模块化
- 模块
- 模块
- 更多
- 缅甸
- 命名
- 名称
- 自然
- 需求
- 打印车票
- 也不
- 网络
- 下页
- 非政府组织
- 尼日利亚
- 数
- 数字
- of
- on
- 一
- 在线
- 更快速的网络连接
- 仅由
- Opera
- 运营
- or
- 组织
- 组织
- 起源
- 其他名称
- 其它
- 我们的
- 输出
- Outlook
- 产量
- 超过
- 简介
- 己
- 包
- 特别
- 被动
- 密码
- 修补
- 径
- 执行
- 施行
- 坚持
- 菲律宾
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 求情
- 插入
- 插件
- 点
- 热门
- 可能
- 帖子
- 当下
- 先前
- 小学
- 总理
- 过程
- 过程
- 协议
- 证明
- 提供
- 省
- 国家
- 公然
- 出版
- 纯粹
- 有疑问吗?
- 随机
- 达到
- 读者
- 接收
- 收到
- 接收
- 记录
- 恢复
- 在相关机构注册的
- 注册处
- 远程
- 一个回复
- 报告
- 业务报告
- 要求
- 研究
- 研究人员
- 解决
- 响应
- 导致
- s
- 同
- 脚本
- 情景
- 截图
- 部分
- 保安
- 看到
- 序列
- 服务器
- 服务
- 特色服务
- 会议
- 几个
- 如图
- 作品
- 显著
- 类似
- 自
- 尺寸
- 小
- 社会
- 社会化媒体
- 软件
- 来源
- 特别是
- 推测
- 阶段
- 开始
- 开始
- 抢断
- 仍
- 商店
- 流
- 成功
- 这样
- 系统
- 表
- 台湾
- 采取
- 目标
- 针对
- 瞄准
- 目标
- 茶
- 电信
- 电信
- 腾讯
- 比
- 这
- 菲律宾人
- 其
- 他们
- 然后
- 因此
- 博曼
- 他们
- Free Introduction
- 那些
- 通过
- 始终
- 次
- 标题
- 至
- 工具箱
- 类型
- 独特
- 无法到达
- 更新
- 最新动态
- 网址
- USB
- 使用
- 用过的
- 用户
- 用户
- 运用
- 各个
- 非常
- 通过
- 受害者
- 受害者
- 越南
- 脆弱
- 是
- we
- 卷筒纸
- 网页浏览器
- 微信
- 井
- 知名
- 为
- 什么是
- ,尤其是
- 是否
- 这
- 而
- 宽
- 维基百科上的数据
- 将
- 窗户
- 也完全不需要
- 价值
- 将
- 写作
- XML
- 和风网