详细内容或原文请订阅后点击阅览
Evasive Panda 网络间谍活动利用 DNS 中毒安装 MgBot 后门
与中国相关的 APT Evasive Panda 使用 DNS 中毒来传送 MgBot 后门,在土耳其、中国和印度进行有针对性的网络间谍攻击。卡巴斯基研究人员发现与中国有关的 APT 组织 Evasive Panda(又名 Daggerfly、Bronze Highland 和 StormBamboo)正在开展有针对性的网络间谍活动,利用 DNS 中毒向中国土耳其的受害者提供 MgBot 后门,并且 [...]
来源:Security Affairs _恶意软件Evasive Panda 网络间谍活动利用 DNS 中毒安装 MgBot 后门
与中国相关的 APT Evasive Panda 使用 DNS 中毒来传送 MgBot 后门,在土耳其、中国和印度进行有针对性的网络间谍攻击。
卡巴斯基研究人员发现与中国有关的 APT 组织 Evasive Panda(又名 Daggerfly、Bronze Highland 和 StormBamboo)利用 DNS 中毒开展有针对性的网络间谍活动,为土耳其、中国和印度的受害者提供 MgBot 后门。
Evasive Panda 已经活跃了至少十年,该组织因使用自定义 MgBot 恶意软件框架而闻名。 2023 年,赛门铁克发现一家非洲电信运营商使用新的 MgBot 插件进行了 Daggerfly 入侵。这凸显了该组织网络间谍策略的不断演变。
攻击者开展了针对性很强的活动,该活动从 2022 年 11 月开始一直持续到 2024 年 11 月。
APT 组织使用隐形加载程序和通过 DNS 响应传递的加密恶意软件组件进行中间对手攻击。它为每个受害者部署了独特的、难以检测的植入程序,并将 MgBot 后门注入内存中的合法进程,使用 DLL 侧载来长期隐藏。
该活动的初始感染依赖于伪装成可信应用程序的虚假软件更新。威胁行为者分发了一个冒充 SohuVA 更新的恶意可执行文件,该更新可能是通过 DNS 中毒传递的,该中毒将更新请求重定向到攻击者控制的服务器。
卡巴斯基发布的报告称,“名为sohuva_update_10.2.29.1-lup-s-tp.exe 的恶意软件包明显冒充真正的 SohuVA 更新,从以下资源传播恶意软件”。
“攻击者有可能使用 DNS 中毒攻击将 p2p.hd.sohu.com[.]cn 的 DNS 响应更改为攻击者控制的服务器的 IP 地址,而 SohuVA 应用程序的正版更新模块会尝试更新位于 appdata\roaming\shapp\7.0.18.0\package 中的二进制文件。”