Devis de remise multi-licences
Données concernant les menaces Portes dérobées Porte dérobée MgBot

Porte dérobée MgBot

Par Mezo en Portes dérobées, Menace persistante avancée (APT)
Se traduisent par :

Une opération de menace persistante avancée (APT) sophistiquée, menée sous l'égide de la Chine, a été attribuée à une campagne de cyberespionnage de longue durée qui a exploité l'infrastructure du système de noms de domaine (DNS) pour déployer la porte dérobée MgBot. La campagne ciblait des victimes soigneusement sélectionnées en Turquie, en Chine et en Inde, et est restée active de novembre 2022 à novembre 2024.

L’adversaire à l’origine de l’opération

Cette activité a été attribuée au groupe de cybercriminels Evasive Panda, également connu sous les noms de Bronze Highland, Daggerfly et StormBamboo. Ce groupe serait actif depuis au moins 2012 et est réputé pour ses intrusions très ciblées plutôt que pour ses attaques opportunistes de grande envergure.

L’adversaire au milieu comme tactique fondamentale

Au cœur de cette campagne se trouvait l'utilisation de techniques d'attaque par l'intermédiaire d'un adversaire (AitM). Les attaquants manipulaient les réponses DNS afin que les victimes soient discrètement redirigées vers une infrastructure sous leur contrôle. Des chargeurs de logiciels malveillants étaient placés à des emplacements de fichiers précis, tandis que des composants chiffrés étaient hébergés sur des serveurs contrôlés par les attaquants et n'étaient délivrés qu'en réponse à des requêtes DNS spécifiques liées à des sites web légitimes.

Un schéma d’abus par empoisonnement DNS

Cette campagne n'est pas un cas isolé. Evasive Panda a démontré à plusieurs reprises son expertise en matière d'empoisonnement DNS. Des recherches antérieures ont mis en lumière des tactiques similaires en avril 2023, lorsque le groupe a probablement exploité une faille de sécurité dans sa chaîne d'approvisionnement ou une attaque AitM pour diffuser des versions infectées de logiciels de confiance, tels que Tencent QQ, contre une ONG internationale en Chine continentale.

En août 2024, de nouvelles informations ont révélé que le groupe avait compromis un fournisseur d'accès Internet (FAI) non identifié, abusant de réponses DNS empoisonnées pour distribuer des mises à jour de logiciels malveillants à des cibles sélectionnées.

Un écosystème plus large d’acteurs AITM alignés sur la Chine

Evasive Panda s'inscrit dans un contexte plus large de groupes de cybercriminels liés à la Chine qui utilisent l'empoisonnement DNS pour diffuser et propager des logiciels malveillants au sein des réseaux. Les analystes ont identifié au moins dix groupes actifs employant des méthodes similaires, ce qui souligne que la manipulation DNS est devenue une technique privilégiée dans cet écosystème.

Mises à jour logicielles militarisées comme appâts

Dans les intrusions documentées, les victimes étaient attirées par de fausses mises à jour se faisant passer pour des logiciels tiers légitimes. Un appât particulièrement répandu usurpait l'identité de mises à jour de SohuVA, une application de streaming vidéo de la société technologique chinoise Sohu. La mise à jour semblait provenir du domaine légitime p2p.hd.sohu.com[.]cn, ce qui laisse fortement supposer qu'un empoisonnement DNS a été utilisé pour rediriger le trafic vers un serveur malveillant pendant que l'application tentait de mettre à jour les fichiers binaires dans son répertoire standard : appdata\roaming\shapp\7.0.18.0\package.

Les chercheurs ont également observé des campagnes parallèles utilisant de faux systèmes de mise à jour pour iQIYI Video de Baidu, IObit Smart Defrag et Tencent QQ.

Livraison de charge utile en plusieurs étapes via des domaines de confiance

L'exécution réussie de la fausse mise à jour a entraîné le déploiement d'un chargeur initial qui a lancé un shellcode. Ce shellcode a récupéré une charge utile de seconde étape chiffrée, dissimulée sous forme d'image PNG, toujours par empoisonnement DNS, cette fois-ci en utilisant abusivement le domaine légitime dictionary.com.

Les attaquants ont manipulé la résolution DNS afin que dictionary.com soit associé à des adresses IP qu'ils contrôlaient, sélectionnées en fonction de la localisation géographique et du fournisseur d'accès Internet de la victime. La requête HTTP utilisée pour récupérer ce code malveillant incluait la version de Windows de la victime, permettant probablement aux attaquants d'adapter leurs actions ultérieures à des versions spécifiques du système d'exploitation. Ce ciblage sélectif rappelle l'utilisation antérieure par le groupe d'attaques par point d'eau, notamment la distribution du malware macOS connu sous le nom de MACMA.

Comment l’empoisonnement du DNS a-t-il pu être réalisé ?

Bien que la méthode précise utilisée pour empoisonner les réponses DNS reste à confirmer, les enquêteurs soupçonnent deux possibilités principales :

  • Compromission sélective des FAI victimes, impliquant potentiellement des implants réseau sur les périphériques pour manipuler le trafic DNS.
  • Compromission directe des routeurs ou des pare-feu au sein des environnements des victimes afin de modifier localement les réponses DNS.

Chaîne de chargement sophistiquée et chiffrement personnalisé

La seconde étape du processus de diffusion du logiciel malveillant est volontairement complexe. Le shellcode initial déchiffre et exécute une charge utile spécifique à la victime, une approche censée réduire la détection en générant un fichier chiffré unique pour chaque cible.

Un chargeur secondaire, dissimulé sous l'apparence de libpython2.4.dll, repose sur le chargement latéral d'une version obsolète et renommée de python.exe. Une fois exécuté, il récupère et déchiffre la charge utile suivante en lisant le fichier C:\ProgramData\Microsoft\eHome\perf.dat. Ce fichier contient un logiciel malveillant qui a d'abord été chiffré par XOR, puis déchiffré, et enfin rechiffré à l'aide d'une méthode hybride personnalisée combinant l'API de protection des données (DPAPI) de Microsoft et l'algorithme RC5. Cette conception garantit que la charge utile ne peut être déchiffrée que sur le système de la victime d'origine, ce qui complique considérablement l'interception et l'analyse hors ligne.

MgBot : un implant furtif et performant

Après déchiffrement, la charge utile est injectée dans un processus légitime svchost.exe, révélant ainsi qu'il s'agit d'une variante de la porte dérobée MgBot. Cet implant modulaire prend en charge un large éventail de fonctions d'espionnage, notamment :

  • Collecte et exfiltration de fichiers
  • Enregistrement des frappes au clavier et récupération du contenu du presse-papiers
  • Enregistrement audio
  • Vol d'identifiants stockés dans le navigateur

Ces capacités permettent aux attaquants de maintenir un accès clandestin et à long terme aux systèmes compromis.

Une menace évolutive et persistante

Cette campagne met en lumière l'évolution constante et la sophistication technique d'Evasive Panda. En combinant l'empoisonnement DNS, l'usurpation d'identité de marques de confiance, des chargeurs multicouches et le chiffrement système, le groupe démontre une capacité manifeste à contourner les défenses tout en maintenant un accès permanent à des cibles de grande valeur. Cette opération souligne la nécessité d'une sécurité DNS renforcée, d'une validation de la chaîne d'approvisionnement et d'une surveillance accrue des mécanismes de mise à jour dans les environnements sensibles.

Tendance

Alerte importante concernant une arnaque par e-mail...

Hameçonnage, Courrier indésirable
Les courriels inattendus exigeant une attention urgente sont une arme de prédilection des cybercriminels. Il est crucial de rester vigilant face à des messages inopinés, notamment ceux signalant des problèmes de compte ou la publication de documents récemment diffusés. Parmi ces menaces en ligne figure l'escroquerie par courriel « Factures en cours de diffusion », une campagne trompeuse visant...

Le plus regardé

Chargement...