隐秘攻击新手法:Evasive Panda APT利用DNS投毒与多层加密载荷传播MgBot

本文详细分析了Evasive Panda APT组织在2022年11月至2024年11月间发起的一场复杂攻击活动。攻击者利用中间人攻击和DNS投毒技术,通过伪造热门应用的更新程序,配合多阶段Shellcode执行和伪装成合法Windows库的隐秘加载器,向受害者植入MgBot恶意软件。文中深入剖析了其结合DPAPI与RC5的自定义混合加密、技术细节及全球影响,并提供了包括IP与哈希在内的威胁指标及针对性的缓解建议。

严重性:中 类型:活动

Evasive Panda APT组织在2022年11月至2024年11月期间实施了一场复杂的攻击活动,利用中间人攻击和DNS投毒攻击来传播MgBot恶意软件。他们使用流行应用程序的伪造更新程序,通过多阶段Shellcode执行过程感染受害者。一个隐秘的二级加载程序伪装成合法的Windows库以规避检测。载荷采用结合了DPAPI和RC5的自定义混合加密进行保护,并针对每个受害者量身定制。虽然受害者主要分布在土耳其、中国和印度,但该攻击活动使用的高级技术和隐蔽特性对全球组织构成了中等严重程度的威胁。目前尚未发现已知的在野漏洞利用,但长时间未被发现的入侵事件凸显了该威胁的持久性。威胁指标包括与该活动相关的多个IP地址和文件哈希。欧洲组织应保持警惕,尤其是那些供应链或软件更新依赖可能被伪造更新程序针对的组织。

AI 分析

技术摘要

Evasive Panda 是一个高级持续性威胁组织,在过去两年中执行了一场针对性活动,利用中间人攻击和DNS投毒来拦截和操纵DNS请求。这种操纵使该组织能够将受害者重定向到托管其恶意软件载荷(特别是MgBot植入程序)的恶意服务器。感染链始于模仿流行应用程序合法软件更新机制的伪造更新程序,诱使用户执行恶意代码。该恶意软件采用多阶段Shellcode执行过程,增强了隐蔽性并使检测复杂化。一个伪装成合法Windows库的二级加载程序被用来将载荷隐秘地加载到内存中,绕过常见的安全控制。载荷使用一种结合了Windows数据保护API和RC5密码的自定义混合加密方案进行加密,确保每个植入程序都是针对特定受害者的,且难以分析或解密。该活动展示了该组织在战术、技术和程序方面的持续演进,包括使用进程注入、代码混淆和持久化机制。尽管受害者主要分布在土耳其、中国和印度,但所使用的技术可以适应以针对其他地区。该活动在受感染系统上活跃了很长时间,表明其具有高度的操作安全性和隐蔽性。入侵指标包括与加载程序和载荷相关的特定IP地址和文件哈希。该活动因其复杂性、隐蔽性和针对性而被归类为中等严重程度,但目前缺乏广泛的漏洞利用或CVSS评分。

潜在影响

对于欧洲组织而言,Evasive Panda攻击活动因其隐秘的感染途径和持久化能力构成了重大风险。依赖软件更新机制或流行应用程序的组织面临因伪造更新程序而导致供应链受损的风险。成功利用可能导致未经授权的访问、数据外泄、间谍活动和长期系统入侵。DNS投毒和AITM攻击的使用会破坏网络信任并使事件检测复杂化。敏感数据的机密性和完整性可能受到严重影响,特别是在政府、关键基础设施和技术等领域。隐秘的二级加载程序和混合加密使得取证分析和修复更加困难,可能增加停机时间和恢复成本。尽管尚未有直接的欧洲受害者报告,但Evasive Panda使用的技术和工具可能被调整用于针对欧洲实体,尤其是那些与当前受影响地区有地缘政治或经济联系的实体。该活动持续数年之久,突显了长期未被发现的间谍活动或破坏活动的可能性。

缓解建议

欧洲组织应实施DNS安全措施,如DNSSEC,以防止DNS投毒攻击并监控DNS流量中的异常情况。采用严格的应用程序白名单,并验证软件更新的数字签名,以检测和阻止伪造更新程序。使用能够识别多阶段Shellcode执行和可疑加载程序行为(包括DLL伪装)的端点检测与响应解决方案。定期审计和监控异常进程注入和持久化机制。部署网络分段并限制出站流量到已知且可信的IP地址,以限制命令与控制通信。实施强大的加密密钥管理,并监控DPAPI或加密API的异常使用。开展针对特定入侵指标(如提供的IP地址和文件哈希)的威胁狩猎演练。教育用户有关安装未经授权的软件更新和可能导致初始入侵的网络钓鱼尝试的风险。维护最新的备份和针对高级持续性威胁定制的事件响应计划。与国家网络安全中心合作并共享威胁情报,以随时了解Evasive Panda等组织不断演变的TTP。

受影响国家

土耳其、德国、法国、英国、意大利、荷兰

入侵指标

  • IP地址:
    • 60.29.226.181
    • 117.121.133.33
    • 58.68.255.45
    • 60.28.124.21
    • 103.27.110.232
    • 103.96.130.107
    • 106.126.3.56
    • 106.126.3.78
    • 116.213.178.11
    • 123.139.57.103
  • 文件哈希:
    • MD5: 1c36452c2dad8da95d460bee3bea365e
    • MD5: 7973e0694ab6545a044a49ff101d412a
    • MD5: 9e72410d61eaa4f24e0719b34d7cad19
    • MD5: c340195696d13642ecf20fbe75461bed
    • SHA1: b9856f6d0b4037fc83ce7a7a2d280b64156126b7
    • SHA256: 9c33f106fc93f3e6523627feda2e3250c45d704946dbdf87ad18fb3d815e2992
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次