中國駭客組織 Evasive Panda 利用 DNS 投毒散布 MgBot 惡意軟體

中國駭客組織 Evasive Panda 發動高度針對性的網路間諜攻擊，利用 DNS 投毒(DNS Poisoning)技術散布其特有的 MgBot 後門程式，目標鎖定土耳其、中國和印度的受害者。卡巴斯基(Kaspersky)觀察到這波攻擊活動已從 2022 年 11 月持續至 2024 年 11 月。

Evasive Panda 又被稱為 Bronze Highland、Daggerfly 和 StormBamboo，據評估至少從 2012 年開始活躍。卡巴斯基研究員指出，該組織主要針對特定受害者發動中間人攻擊(AitM)。攻擊手法包括將載入程式部署於特定位置，並將加密的惡意軟體儲存在攻擊者控制的伺服器上。當受害者發送特定網站的 DNS 請求時，這些伺服器便會回傳惡意內容。

過往攻擊紀錄顯示持續運用DNS投毒手法

這並非 Evasive Panda 首次使用 DNS 投毒技術。早在 2023 年 4 月，網路安全軟體 ESET 就發現該組織可能透過供應鏈攻擊或中間人攻擊，散布木馬化的合法應用程式(如騰訊 QQ)，目標鎖定中國大陸的國際非政府組織。

Evasive Panda 是眾多利用中間人投毒技術散布惡意軟體的中國相關威脅組織之一。ESET 11 月指出，目前追蹤到 10 個來自中國的活躍組織使用該技術進行初始存取或橫向移動，包括 LuoYu、BlackTech、TheWizards APT、Blackwood、PlushDaemon 和 FontGoblin。

偽裝成軟體更新進行攻擊

在卡巴斯基記錄的攻擊中，駭客使用偽裝成第三方軟體更新的誘餌，例如中國網路公司搜狐的影片串流服務 SohuVA。惡意更新從網域「p2p.hd.sohu.com[.]cn」傳送，這很可能是 DNS 投毒攻擊的跡象。

專家解釋，攻擊者可能利用 DNS 投毒攻擊將 p2p.hd.sohu.com[.]cn 的 DNS 回應改為攻擊者控制的伺服器 IP 位址，而 SohuVA 應用程式的真正更新模組試圖更新位於 appdata\roaming\shapp\7.0.18.0\package 的執行檔。

卡巴斯基還發現 Evasive Panda 在其他攻擊活動中使用了百度愛奇藝影片、IObit Smart Defrag 和騰訊 QQ 的假更新程式。

複雜的多階段攻擊鏈

攻擊透過部署初始載入程式，啟動 shellcode 以執行後續行動。該 shellcode 利用 DNS 投毒技術，從合法網站 dictionary[.]com 擷取加密的第二階段 shellcode，偽裝成 PNG 圖片檔案。Evasive Panda 操縱了 dictionary[.]com 的 IP 位址，根據受害者的地理位置和網際網路服務供應商，將該網站解析至攻擊者控制的 IP 位址。

目前尚不清楚駭客如何投毒 DNS 回應。但有兩種可能情境：其一是受害者使用的 ISP 被選擇性鎖定並入侵，在邊緣裝置上安裝網路植入程式；其二是受害者使用的路由器或防火牆遭到駭入。

用於獲取第二階段 shellcode 的 HTTP 請求中包含當前的 Windows 版本號碼。這可能是攻擊者針對特定作業系統版本的策略，以便根據受害者使用的作業系統調整攻擊手法。值得注意的是，Evasive Panda 過去曾利用水坑攻擊(Watering Hole Attack)散布代號為 MACMA 的 Apple macOS 惡意軟體。

使用客製化加密技術躲避偵測

攻擊的關鍵在於使用次級載入程式(「libpython2.4.dll」)，該程式依賴重新命名的舊版「python.exe」進行側載(Sideloading)。啟動後，它會讀取「C:\ProgramData\Microsoft\eHome\perf.dat」檔案，下載並解密下一階段的惡意軟體。

卡巴斯基表示，攻擊者採用複雜的加密流程：惡意軟體最初以 XOR 加密，解密後再使用微軟資料保護應用程式介面(DPAPI)與 RC5 演算法的客製化混合方式重新加密，最後儲存到 perf.dat 檔案中。

使用自訂加密演算法的目的是增加逆向分析的難度，確保加密後的資料只能在執行加密的特定系統上解密，藉此防止資安人員攔截並分析惡意程式。

MgBot後門程式的強大功能

解密後的程式碼是 MgBot 變種，由次級載入程式注入到合法的「svchost.exe」程序中。MgBot 是一個模組化植入程式，能夠收集檔案、記錄按鍵、蒐集剪貼簿資料、錄製音訊串流，以及從網頁瀏覽器竊取憑證，使惡意軟體能夠在受感染系統中長期維持隱密存在。

卡巴斯基表示，Evasive Panda 威脅組織運用新型技術與工具繞過資安防護機制，並在目標系統中維持長期潛伏。

本文轉載自 TheHackerNews。