隐秘的入侵:揭露Evasive Panda如何利用DNS投毒与多阶段载荷投递MgBot

卡巴斯基GReAT团队深入分析了APT组织Evasive Panda(又名青铜高地)的攻击链。该组织通过DNS中间人攻击,向特定受害者投递了使用DPAPI和RC5加密的shellcode,并最终在内存中植入其标志性的MgBot后门,展现了高超的隐匿与持久化技术。

概述

2025年12月24日,卡巴斯基全球研究与分析团队(GReAT)发布了一份关于高级持续性威胁(APT)组织Evasive Panda(亦被称为青铜高地、Daggerfly和StormBamboo)的研究报告。该组织自2012年起活跃,主要针对特定行业发起高度定向的攻击。最新研究发现,该组织在2022年11月至2024年11月期间进行了一场持续的定向攻击活动,采用了创新的DNS投毒技术和复杂的多阶段恶意代码加载机制,以投递其标志性的MgBot后门。

技术细节

初始感染途径

攻击者通常利用伪装成知名第三方应用程序(如搜狐影音SohuVA、爱奇艺iQIYI Video等)更新包的诱饵文件发起攻击。这些恶意安装程序通常被放置在应用程序的安装目录中,由合法程序(如爱奇艺的 qiyiservice.exe)触发执行。

该攻击链的起点是一个名为 sohuva_update_10.2.29.1-lup-s-tp.exe 的加载器。分析发现,其代码与微软GitHub上的一个Windows模板库(WTL)示例项目 Wizard97Test 高度相似,表明攻击者可能在其基础上嵌入了恶意代码以隐藏恶意行为。

加载器启动后,会首先解密一个经过XOR算法加密的配置缓冲区。解密后的配置信息包含多个组件:

  • 恶意软件安装路径%ProgramData%\Microsoft\MF
  • 资源域名http://www.dictionary.com/
  • 资源URIimage?id=115832434703699686&product=dict-homepage.png
  • 加密的MgBot配置数据

随后,恶意软件会检查当前系统登录用户名。根据是否为 SYSTEM 用户,它会执行不同的操作,最终目的都是解密一段存储在程序 .data 节中的shellcode(9556字节),并通过调用 VirtualProtect API更改内存权限来执行它。执行前,会准备一个包含关键参数(如加密的MgBot配置缓冲区地址)的结构体传递给shellcode。

多阶段Shellcode执行

第一阶段shellcode会采用PJW哈希算法在运行时动态解析Windows API,以躲避检测。其主要任务是检索并解密下一阶段的有效载荷,具体流程如下:

  1. 首先,它会在恶意软件的主安装目录中寻找一个特定的 .DAT 文件。如果找到,则使用Windows的 CryptUnprotectData API进行解密,之后删除该文件以抹去痕迹。
  2. 如果未找到 .DAT 文件,shellcode则会启动从网络获取第二阶段的流程。它会向配置中指定的资源(dictionary[.]com)发起HTTP请求。关键之处在于,攻击者很可能通过DNS投毒攻击,篡改了该合法域名的解析结果,将受害者的请求引导至攻击者控制的服务器。HTTP请求头中会附带当前Windows系统的详细版本信息,这暗示攻击者可能根据不同的操作系统版本投递不同的载荷(例如,历史上该组织曾针对Windows和macOS使用不同的植入物MgBot和Macma)。
  3. 获取到伪装成PNG文件的加密数据后,shellcode会使用一个4字节的XOR密钥进行解密,随后执行这段第二阶段的shellcode。执行完毕后,第二阶段shellcode可能会使用 CryptProtectData API将自身加密后写回磁盘的 .DAT 文件中,形成闭环。这使得每个受害者机器上的第二阶段的载荷都是独一无二的,增加了分析和检测的难度。

次级加载器

除了上述链条,研究还发现了一个名为 libpython2.4.dll 的次级加载器。它被伪装成合法的Windows库,并依赖于一个十年前签名的、名为 evteng.exe 的旧版Python可执行文件进行DLL旁加载(Sideloading)。

该加载器会读取 C:\ProgramData\Microsoft\eHome\perf.dat 文件的内容。该文件包含了通过上述DNS投毒技术下载并解密后的核心载荷,但此载荷在存入磁盘前,又经过了一层混合加密处理:

  1. 首先使用RC5算法对载荷进行加密。
  2. 随后,RC5的密钥本身再通过微软的数据保护API(DPAPI)进行加密,并存储在 perf.dat 文件的开头。
  3. 最后,将RC5加密后的载荷附加在文件后面。

这种设计确保了核心载荷只能在使用同一台机器上的DPAPI进行解密,极大地阻碍了安全人员在非感染环境中对样本的分析。

解密后,该加载器会使用一个自定义的运行时DLL注入器,将最终载荷注入到 svchost.exe 等合法进程的内存中执行。卡巴斯基的遥测数据证实,最终注入并执行的是Evasive Panda组织的标志性后门——MgBot。研究人员使用单字节XOR密钥(0x58)成功解密了其配置,其中包含了多个已使用多年的C2服务器地址,表明这是一次长期的、资源投入巨大的行动。

受害者与归因

根据卡巴斯基的遥测数据,此次活动的受害者主要位于土耳其、中国和印度,部分系统被入侵的时间超过一年。攻击活动从2022年11月持续至2024年11月,展现了攻击者高度的持久性和资源投入。

攻击活动中使用的战术、技术和程序(TTP),包括供应链攻击、中间人攻击、水坑攻击、复杂的多阶段加载链以及最终投递的MgBot后门,均与已知的Evasive Panda组织活动特征高度吻合。因此,研究人员以高置信度将此活动归因于该APT组织。

结论

Evasive Panda组织在此次活动中再次展现了其高超的攻击能力。通过利用DNS投毒这一相对罕见的初始访问方式,结合复杂的shellcode执行链、为每个受害者定制的加密载荷以及混合了DPAPI和RC5的磁盘存储加密技术,该组织有效地规避了安全检测,在目标系统中保持了长期的隐秘存在。

尽管攻击链的技术细节已被部分揭露,但攻击者是如何精确实施DNS投毒(可能通过入侵受害者ISP网络或边缘设备)的,目前仍不完全清楚。配置文件中大量的C2服务器地址也表明,攻击者为维持对失陷系统的长期控制进行了周密规划。这份报告揭示了高级威胁行为体不断演进的技术手段,提醒防御者需要从网络流量监测、终端行为分析和威胁情报等多个层面加强防护。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次