Активность группы, известная как Evasive Panda (также именуемая Bronze Highland, Daggerfly и StormBamboo), отслеживалась в период с ноября 2022-го по ноябрь 2024 года. Группа активно действует с начала 2012 года.
Специалисты Kaspersky сообщили, что эта группа преимущественно прибегала к атакам типа "противник посередине" (Adversary-in-the-Middle, AitM), направленным на конкретных целей. Среди используемых техник были случаи размещения загрузчиков в специфичные местоположения и хранение зашифрованных частей вредоносного ПО на серверах, контролируемых преступниками, — они срабатывали в ответ на запросы DNS к определенным сайтам.
По словам исследователя Kaspersky Фатиха Шенсоя, такие атаки позволяли группе незаметно внедрять вредоносные обновления популярного программного обеспечения, замаскировав их под настоящие обновления известных приложений, таких как Tencent QQ.
Например, в апреле 2023 года компания ESET отмечала подобные инциденты, связанные с попытками подгрузки злонамеренно модифицированных версий легального ПО, ориентированного на китайские организации.
Позже, в августе 2024 года, исследователи из Volexity обнаружили атаку на неизвестного провайдера интернет-услуг (ISP), где использовалась та же техника DNS-отравления для доставки вредоносных обновлений целевой аудитории.
Кроме того, выяснилось, что Evasive Panda использует технику отравления DNS для распределения своего вредоносного ПО через официальные сайты крупных компаний, создавая поддельные обновления для таких приложений, как SohuVA, Baidu iQIYI Video, IObit Smart Defrag и Tencent QQ.
Один из приемов заключался в следующем: подставляя поддельные IP-адреса легитимных сайтов, злоумышленники перенаправляли жертву на контролируемые ими сервера. Например, заражённое обновление для приложения SohuVA доставлялось с ресурса "p2p.hd.sohu.com.cn", что предполагает успешное отравление DNS-запросов.
Последующая стадия атаки включала внедрение начального загрузчика, запускающего шифрокод, который обращался к следующему этапу вредоносного пакета в виде зашифрованного изображения формата PNG. Оно снова передавалось жертве через DNS-отравление с официального сайта dictionary.com.
Помимо прочего, команда исследователей установила, что IP-адрес dictionary.com подвергался манипуляциям со стороны преступников, заставляя системы-жертвы обращаться к подконтрольным злоумышленникам серверам, основываясь на географической привязке и поставщике услуг Интернета.
Основной способ распространения второго этапа вредоносного ПО пока неясен, хотя существуют две гипотезы: либо используемые жертвой провайдеры связи были выборочно скомпрометированы, либо взломаны роутер или фаервол, принадлежащие жертве.
Получаемый вторым этапом шифрокод содержал номер текущей версии Windows, что могло указывать на попытку адаптации стратегии атаки к конкретной версии операционной системы.
Несмотря на ограниченность сведений о природе второй стадии, известно, что первая ступень расшифровывает и исполняет полученный вредоносный компонент. Эксперты предполагают, что каждый экземпляр жертвы получает уникальный зашифрованный вариант следующего уровня вредоносного ПО, чтобы затруднить обнаружение.
Дальнейший процесс происходил через вторичный загрузчик («libpython2.4.dll»), зависимый от переименованной старой версии python.exe. Полученный после дешифровки исполняемый файл хранился в специальном файле «perf.dat».
Этот файл изначально был зашифрован методом XOR, затем повторно зашифрован гибридным способом, основанным на DPAPI и алгоритме RC5, что сильно усложняло анализ вредоносного компонента.
Следующим шагом стал инъекционный модуль MgBot, внедряемый в доверенный процесс svchost.exe. MgBot наделён функциями сбора файлов, регистрации клавиатурных ударов, кражи учетных данных браузеров и длительной скрытой работы в системах-жертвах.
"В очередной раз Evasive Panda продемонстрировала высокий уровень мастерства, успешно скрывая свое присутствие и поддерживая долговременное существование в целевых сетях", — подчеркнули эксперты Kaspersky.
