### Китайская APT-группа Evasive Panda использовала отравление DNS для распространения вредоносного ПО
Недавние исследования выявили сложную кибератаку, связанную с китайской группой продвинутых постоянных угроз (APT) под названием Evasive Panda, также известной как StormBamboo или DaggerFly. Группа успешно скомпрометировала интернет-провайдера (ISP), чтобы использовать механизмы обновления программного обеспечения для распространения новых вариантов бэкдора Macma и постэксплуатационного вредоносного ПО, направленного на похищение конфиденциальных данных из затронутых сетей.
Исследователи из компании Volexity обнаружили атаку в середине 2023 года, когда они зафиксировали множество систем, зараженных вредоносным ПО. В ходе расследования выяснилось, что эта активная китайская APT-группа манипулировала ответами DNS-запросов для определенных доменов, связанных с автоматическими каналами обновления программного обеспечения.
По словам исследователей Volexity — Анкура Сайни, Пола Расканьереса, Стивена Адаира и Томаса Ланкастера — группа целенаправленно атаковала программное обеспечение, которое полагалось на небезопасные механизмы обновления, такие как HTTP, не обеспечивающие надлежащую проверку цифровых подписей установочных файлов. В результате, при попытке обновления таких приложений, они неосознанно устанавливали вредоносное ПО, включая варианты Macma и Pocostick (также известного как MGBot).
Macma, бэкдор, часто используемый Evasive Panda, впервые был задокументирован Google TAG в 2021 году, хотя использовался он уже несколько лет до этого. Последний вариант указывает на слияние в разработке Macma и Gimmick MacOS malware. Кроме того, исследователи отметили использование вредоносного расширения для браузера Reloadext, предназначенного для похищения данных электронной почты жертв.
Volexity подробно описала один из нескольких инцидентов, когда Evasive Panda использовала отравление DNS для доставки вредоносного ПО через автоматический механизм обновления HTTP. Атака включала отравление ответов для легитимных имен хостов, которые затем использовались как серверы команд и управления (C2).
Отравление DNS — это форма злоупотребления DNS, при которой злоумышленники манипулируют записями DNS для перенаправления сетевых коммуникаций на сервер под их контролем, что позволяет им красть и манипулировать информацией, передаваемой пользователям. В данном случае APT перенаправила записи DNS на сервер под контролем злоумышленников, расположенный в Гонконге по IP-адресу 103.96.130.107 в инфраструктуре ISP.
В ответ на атаки Volexity сотрудничала с пострадавшим интернет-провайдером. Провайдер провел расследование и отключил различные сетевые компоненты, эффективно остановив вредоносную активность. Хотя было сложно идентифицировать конкретное скомпрометированное устройство, обновления различных компонентов инфраструктуры привели к прекращению атак.
Эти события подчеркивают важность обеспечения безопасности механизмов обновления программного обеспечения и демонстрируют высокую квалификацию и настойчивость современных APT-групп.
