Çin bağlantılı bir gelişmiş kalıcı tehdit (APT) grubunun, düşmanın Türkiye, Çin ve Hindistan’daki mağdurları hedef alan saldırılarda kendi imzası olan MgBot arka kapısını teslim etme isteğini zehirlediği, Etki Alanı Adı Sistemini (DNS) zehirlediği yüksek hedefli bir siber casusluk kampanyasına atfedildi.
Kaspersky, etkinliğin Kasım 2022 ile Kasım 2024 arasında gözlemlendiğini söyledi. Kaçan PandaBronze Highland, Daggerfly ve StormBamboo olarak takip ediliyor. En az 2012’den beri aktif olduğu değerlendiriliyor.
Kaspersky araştırmacısı Fatih Şensoy, ayrıntılı bir analizde “Grubun esas olarak belirli kurbanlara ortadaki rakip (AitM) saldırıları gerçekleştirdiğini” söyledi. “Bunlar, yükleyicilerin belirli konumlara bırakılması ve kötü amaçlı yazılımın şifrelenmiş bölümlerinin saldırgan tarafından kontrol edilen sunucularda saklanması gibi teknikleri içeriyordu ve bunlar, belirli web sitesi DNS isteklerine yanıt olarak çözüldü.”
Bu Kaçınma Panda’nın DNS zehirleme yeteneklerinin ön plana çıktığı ilk sefer değil. ESET, Nisan 2023’te, tehdit aktörünün Çin Anakarasındaki uluslararası bir sivil toplum kuruluşunu (STK) hedef alan bir saldırıda Tencent QQ gibi meşru uygulamaların truva atı haline getirilmiş versiyonlarını sunmak için bir tedarik zinciri ihlali veya AitM saldırısı gerçekleştirmiş olabileceğini belirtti.
Ağustos 2024’te Volexity tarafından hazırlanan bir rapor, tehdit aktörünün, kötü amaçlı yazılım güncellemelerini ilgili hedeflere göndermek için DNS zehirlenmesi saldırısı yoluyla isimsiz bir internet servis sağlayıcısının (ISP) güvenliğini nasıl tehlikeye attığını ortaya çıkardı.
Kaçınma Panda aynı zamanda kötü amaçlı yazılım dağıtımı için AitM zehirlenmesine dayanan, Çin uyumlu birçok tehdit faaliyeti kümesinden biridir. Geçtiğimiz ay yapılan bir analizde ESET, LuoYu, BlackTech, TheWizards APT, Blackwood, PlushDaemon ve FontGoblin dahil olmak üzere Çin’den ilk erişim veya yanal hareket tekniğini kullanan 10 aktif grubu takip ettiğini söyledi.
Kaspersky tarafından belgelenen saldırılarda, tehdit aktörünün, Çinli internet şirketi Sohu’nun video yayın hizmeti olan SohuVA gibi üçüncü taraf yazılımlara yönelik güncellemeler gibi görünen tuzaklardan faydalandığı tespit edildi. Kötü amaçlı güncelleme “p2p.hd.sohu.com” alanından teslim ediliyor[.]cn” muhtemelen bir DNS zehirlenmesi saldırısını gösteriyor.
“Saldırganların, p2p.hd.sohu.com’un DNS yanıtını değiştirmek için DNS zehirleme saldırısı kullanmış olma ihtimali var”[.]Şensoy, “SohuVA uygulamasının orijinal güncelleme modülü, appdata\roaming\shapp\7.0.18.0\package” dizininde bulunan ikili dosyalarını güncellemeye çalışırken, saldırganın kontrol ettiği bir sunucunun IP adresine cn gönderildiğini açıkladı.
Rus siber güvenlik sağlayıcısı, Evasive Panda’nın Baidu’nun iQIYI Video’sunun yanı sıra IObit Smart Defrag ve Tencent QQ için sahte bir güncelleyici kullandığı diğer kampanyaları da tespit ettiğini söyledi.
Saldırı, kabuk kodunun başlatılmasından sorumlu olan bir ilk yükleyicinin konuşlandırılmasının önünü açıyor; bu yükleyici, yine meşru web sitesi sözlüğünden DNS zehirlenmesi yoluyla PNG resim dosyası biçiminde şifrelenmiş ikinci aşama kabuk kodunu getiriyor[.]com.
Kaçamak Panda’nın sözlükle ilişkili IP adresini değiştirdiği söyleniyor[.]com, mağdur sistemlerin web sitesini coğrafi konuma ve internet servis sağlayıcısına göre saldırgan tarafından kontrol edilen bir IP adresine çözümlemesine neden oluyor.
Tehdit aktörünün DNS yanıtlarını nasıl zehirlediği şu anda bilinmiyor. Ancak iki olası senaryodan şüpheleniliyor: Ya kurbanlar tarafından kullanılan İSS’ler seçici olarak hedef alındı ve uç cihazlara bir tür ağ implantasyonu kurmak için ele geçirildi ya da kurbanlar tarafından kullanılan bir yönlendirici veya güvenlik duvarı bu amaçla saldırıya uğradı.
İkinci aşama kabuk kodunu almaya yönelik HTTP isteği aynı zamanda geçerli Windows sürüm numarasını da içerir. Bu muhtemelen saldırganların belirli işletim sistemi sürümlerini hedefleme ve stratejilerini kullanılan işletim sistemine göre uyarlama girişimidir. Evasive Panda’nın daha önce MACMA kod adlı bir Apple macOS kötü amaçlı yazılımını dağıtmak için sulama deliği saldırılarından yararlandığını belirtmekte fayda var.
İkinci aşamadaki yükün kesin yapısı belirsiz ancak Kaspersky’nin analizi, ilk aşamadaki kabuk kodunun alınan yükün şifresini çözdüğünü ve çalıştırdığını gösteriyor. Saldırganların, tespit işlemini atlatmanın bir yolu olarak her kurban için benzersiz, şifrelenmiş ikinci bir kabuk kodu dosyası oluşturduğu değerlendiriliyor.
İşlemlerin çok önemli bir yönü, dışarıdan yüklenecek “python.exe”nin yeniden adlandırılmış, eski bir sürümüne dayanan ikincil bir yükleyicinin (“libpython2.4.dll”) kullanılmasıdır. Başlatıldığında, “C:\ProgramData\Microsoft\eHome\perf.dat” adlı dosyanın içeriğini okuyarak sonraki aşamadaki kötü amaçlı yazılımı indirir ve şifresini çözer. Bu dosya, önceki adımdan indirilen şifresi çözülmüş veriyi içerir.
Kaspersky, “Saldırganın bu aşamayı başlangıçta XOR ile şifrelenmiş olan bir kaynaktan elde etmek için karmaşık bir süreç kullandığı görülüyor” dedi. “Saldırgan daha sonra bu aşamanın şifresini XOR ile çözdü ve ardından Microsoft’un Veri Koruma Uygulama Programlama Arayüzü (DPAPI) ile RC5 algoritmasının özel bir karışımını kullanarak şifreledi ve perf.dat’a kaydetti.”
Özel bir şifreleme algoritmasının kullanılması, şifrelenmiş verilerin kodunun yalnızca şifrelemenin başlangıçta gerçekleştirildiği belirli sistemde çözülmesini sağlayarak ve kötü amaçlı yükün ele geçirilmesi ve analiz edilmesine yönelik her türlü çabayı engelleyerek analizi karmaşıklaştırma girişimi olarak görülüyor.
Şifresi çözülen kod, ikincil yükleyici tarafından meşru bir “svchost.exe” işlemine enjekte edilen bir MgBot çeşididir. Modüler bir implant olan MgBot, dosyaları toplama, tuş vuruşlarını kaydetme, pano verilerini toplama, ses akışlarını kaydetme ve web tarayıcılarından kimlik bilgilerini çalma yeteneğine sahiptir. Bu, kötü amaçlı yazılımın ele geçirilen sistemlerde uzun süre boyunca gizli varlığını sürdürmesine olanak tanır.
Kaspersky, “Kaçınıcı Panda tehdit aktörü, hedeflenen sistemlerde uzun vadeli kalıcılığı korurken yeni teknikler ve araçlarla güvenlik önlemlerinden kaçarak gelişmiş yeteneklerini bir kez daha sergiledi.” dedi.