کمیته رکن چهارم– یک گروه پیشرفته سایبری با منشأ چینی موسوم به Evasive Panda متهم به اجرای کمپینی مخرب شده است که با استفاده از مسمومسازی DNS، بدافزار پیشرفتهای به نام MgBot را به قربانیانی در ترکیه، چین و هند تحویل داده است. این گروه با استفاده از تکنیک adversary-in-the-middle، پاسخهای DNS را تغییر داده و فایلهای آلوده را به جای بهروزرسانیهای رسمی به کاربران ارسال میکرده است.
به گزارش کمیته رکن چهارم، شرکت Kaspersky این فعالیتها را در بازه نوامبر ۲۰۲۲ تا نوامبر ۲۰۲۴ ردیابی کرده است. در این کمپین، کاربران هنگام تلاش برای بهروزرسانی نرمافزارهایی مانند Tencent QQ یا SohuVA به نسخههای جعلی و آلوده هدایت میشدند. حملات از طریق دامنههایی مانند p2p.hd.sohu.com[.]cn و حتی نسخه جعلی dictionary.com انجام شده و مهاجمان با تغییر IP مقصد این دامنهها، فایلهای مخرب را بارگذاری میکردند.
بدافزار MgBot که به صورت ماژولار طراحی شده، پس از تزریق به فرآیند svchost.exe قادر به ضبط صدا، کلیدهای فشردهشده، محتوای کلیپبورد و اطلاعات مرورگر قربانی است. فرآیند بارگذاری آن شامل استفاده از لودرهایی است که فایلهای رمزگذاریشده را از طریق DNS poisoning دریافت کرده و روی سیستم قربانی رمزگشایی میکنند.
تحلیل Kaspersky نشان میدهد که حملات با هدف پایداری بلندمدت در سیستم قربانی، رمزگذاری پیچیده و اجرای مخفی بدافزار طراحی شدهاند. این حملات نشاندهنده سطح بالای توانمندی فنی و هدفمندی گروههای سایبری دولتی است. توصیه شده است سازمانها از DNS امن، بهروزرسانیهای معتبر و تجهیزات مرزی محافظتشده استفاده کنند.
