Ваш браузер врет вам. Как хакеры подменяют ответы интернета, чтобы заразить ваш компьютер

Evasive Panda Лаборатория Касперского MitM-атака Китай MgBot
Ваш браузер врет вам. Как хакеры подменяют ответы интернета, чтобы заразить ваш компьютер
Evasive Panda Лаборатория Касперского MitM-атака Китай MgBot

Эта атака не ломает сайты — она незаметно меняет дорогу к ним, и вы даже не понимаете, когда всё пошло не так.

image

Китайская хакерская группировка Evasive Panda (Bronze Highland, Daggerfly, StormBamboo) провела одну из самых сложных и продолжительных киберкампаний последних лет, на протяжении почти двух лет незаметно заражая системы своих жертв и удерживая над ними контроль. Новое исследование Лаборатории Касперского показывает, что атаки шли с ноября 2022 года по ноябрь 2024-го и отличались высоким уровнем точности, скрытности и технической изощрённости.

Основной упор злоумышленники сделали на так называемые MitM-атаки (Man-in-the-Middle), когда вредоносный код доставляется жертве под видом легитимного обновления доверенного приложения. В ходе кампании хакеры подменяли обновления популярных программ, включая стриминговые сервисы, и незаметно внедряли загрузчики вредоносного ПО. В ряде случаев атака, по всей видимости, опиралась на подмену DNS-ответов, из-за чего системы жертв обращались не к настоящим серверам обновлений, а к инфраструктуре злоумышленников.

Для заражения использовались поддельные обновления таких популярных приложений, как SohuVA и iQIYI Video, а также утилит и мессенджеров, установленных на миллионах компьютеров. Вредоносный код аккуратно размещался прямо в папках легальных программ и запускался их собственными сервисами, что позволяло ему долгое время оставаться незамеченным.

Ключевой особенностью кампании стал новый загрузчик, созданный таким образом, чтобы максимально затруднить анализ и обнаружение. Он использует многоступенчатую схему, при которой части вредоносной нагрузки хранятся в зашифрованном виде и подгружаются только при выполнении определённых условий. Конфигурация, строки и даже имена файлов в коде скрыты с помощью шифрования, а сам вредонос исполняется прямо в памяти системы, не оставляя привычных следов на диске.

В финальной стадии атаки злоумышленники внедряют в систему давно известный, но всё ещё активно развиваемый шпионский модуль MgBot. Для этого применяется инъекция кода в легитимные процессы Windows, такие как svchost.exe, с использованием подписанных и на первый взгляд безобидных исполняемых файлов. Такой подход позволяет атаке сохранять скрытность и устойчивость месяцами, а иногда и годами.

Дополнительную защиту своей инфраструктуры Evasive Panda обеспечила с помощью гибридного шифрования. Часть полезной нагрузки шифруется с использованием стандартных механизмов Windows, привязанных к конкретному компьютеру жертвы. Это означает, что перехваченные файлы невозможно расшифровать и изучить на другом устройстве, что серьёзно осложняет работу аналитиков и исследователей.

По данным телеметрии, жертвами кампании стали пользователи в Турции, Китае и Индии, причём некоторые системы оставались заражёнными более года. Такой масштаб и продолжительность указывают на серьёзные ресурсы и стратегический подход со стороны атакующих.

Специалисты с высокой уверенностью связывают эту кампанию именно с Evasive Panda, поскольку использованные техники и инструменты полностью совпадают с ранее задокументированными операциями группы. Несмотря на появление новых загрузчиков и методов маскировки, финальной точкой атаки по-прежнему остаётся MgBot, пусть и с обновлённой конфигурацией и расширенными возможностями.

Исследователи отмечают, что данная операция наглядно демонстрирует эволюцию кибершпионажа: злоумышленники всё чаще используют доверенные приложения, сетевую инфраструктуру и системные механизмы защиты против самих пользователей. Судя по всему, эта кампания — далеко не последняя, и появление новых инструментов может говорить о подготовке Evasive Panda к следующим, ещё более сложным атакам.