Скачали обновление Tencent QQ с 2022 года? Отлично, теперь хакеры читают всё: клавиши, буфер обмена, пароли браузера

Специалисты «Лаборатории Касперского» связали длительную и точечную кампанию кибершпионажа с китайской APT-группировкой Evasive Panda. В рамках этих атак злоумышленники подменяли ответы системы доменных имён (DNS), чтобы незаметно доставлять на компьютеры жертв собственный бэкдор MgBot. Активность фиксировалась с ноября 2022 года по ноябрь 2024-го и была направлена против отдельных целей в Турции, Китае и Индии.

Evasive Panda также известна под именами Bronze Highland, Daggerfly и StormBamboo. По оценкам исследователей, группа действует как минимум с 2012 года. В последних атаках она активно использовала приёмы adversary-in-the-middle (AitM), то есть вмешательство в сетевой трафик конкретных жертв с подменой легитимных ответов инфраструктуры на вредоносные.

Как отмечает исследователь Фатих Шенсой, схема заражения была многоступенчатой и тщательно выстроенной. Сначала в системе появлялся загрузчик, размещённый в заранее выбранных каталогах. Часть компонентов вредоносного ПО при этом не хранилась на машине жертвы постоянно, а подгружалась в зашифрованном виде с серверов атакующих — но только в ответ на DNS-запросы к определённым сайтам.

Подобный подход для Evasive Panda не нов. Ещё в апреле 2023 года специалисты ESET сообщали об атаке на международную неправительственную организацию в материковом Китае. Тогда злоумышленники либо вмешались в цепочку поставок, либо применили AitM-технику для распространения троянизированных версий популярных программ, включая Tencent QQ. В августе 2024 года компания Volexity описала другой инцидент: атакующие скомпрометировали неназванного интернет-провайдера и через подмену DNS-ответов рассылали вредоносные обновления выбранным жертвам.

Evasive Panda — лишь одна из целой группы китайских APT-кластеров, активно использующих подмену DNS. По данным ESET, сейчас отслеживается не менее десяти подобных групп, применяющих этот приём для первичного проникновения или перемещения внутри сетей. Среди них — LuoYu, BlackTech, TheWizards APT, Blackwood, PlushDaemon и FontGoblin.

В кампаниях, проанализированных «Лабораторией Касперского», вредоносное ПО маскировалось под обновления популярных сторонних программ. Один из примеров — поддельное обновление видеосервиса SohuVA, принадлежащего китайской компании Sohu. Загрузка шла с домена p2p.hd.sohu.com.cn, что указывает на возможную подмену DNS-ответа. По версии исследователей, атакующие могли изменить результат разрешения домена так, чтобы приложение обращалось к их серверу, в то время как легитимный модуль обновления пытался заменить файлы в каталоге appdata\roaming\shapp\7.0.18.0\package.

Помимо SohuVA, аналитики обнаружили и другие кампании с фальшивыми обновлениями для iQIYI Video от Baidu, утилиты IObit Smart Defrag и мессенджера Tencent QQ.

После установки поддельного обновления в системе появлялся начальный загрузчик. Он запускал shellcode, который затем получал зашифрованный второй этап — замаскированный под PNG-файл. Для его доставки снова использовалась подмена DNS, на этот раз связанная с легитимным сайтом dictionary.com. По данным исследователей, злоумышленники подменяли IP-адрес домена так, чтобы он указывал на их сервер в зависимости от географического положения жертвы и используемого интернет-провайдера.

HTTP-запрос, с помощью которого загружался второй этап, содержал информацию о версии Windows. Это позволяло атакующим подстраивать дальнейшие действия под конкретную операционную систему. Ранее Evasive Panda уже применяла похожую логику в атаках типа watering hole для распространения вредоносного ПО под macOS, известного как MACMA.

Точный функционал второго этапа в ряде случаев остаётся не до конца понятным, однако анализ показал, что первый shellcode расшифровывал полученный файл и запускал его в памяти. Предполагается, что для каждой жертвы создавался собственный, уникально зашифрованный вариант полезной нагрузки, что заметно усложняло обнаружение и анализ.

Важную роль в цепочке заражения играл дополнительный загрузчик с именем libpython2.4.dll. Он использовал технику sideloading вместе с переименованной и устаревшей версией python.exe. После запуска этот компонент считывал файл C:\ProgramData\Microsoft\eHome\perf.dat, в котором находилась расшифрованная полезная нагрузка предыдущего этапа.

Как подчёркивают исследователи, путь получения этого файла был намеренно усложнён. Изначально данные шифровались с помощью XOR, затем расшифровывались и повторно сохранялись в perf.dat уже в зашифрованном виде — с использованием собственной гибридной схемы, сочетающей DPAPI от Microsoft и алгоритм RC5. Такой подход делает невозможной расшифровку данных вне конкретной системы и серьёзно мешает анализу перехваченных образцов.

Финальной стадией становилась загрузка модуля MgBot, который внедрялся в легитимный процесс svchost.exe. Этот модульный имплант умеет собирать файлы, записывать нажатия клавиш, перехватывать данные буфера обмена, записывать звук и извлекать учётные данные из браузеров. Благодаря этому злоумышленники получают возможность надолго закрепляться в скомпрометированных системах и оставаться незаметными.

По оценке «Лаборатории Касперского», кампания в очередной раз показывает высокий уровень технической подготовки Evasive Panda. Группа продолжает развивать свои инструменты, аккуратно обходить защитные механизмы и выстраивать сложные цепочки заражения, рассчитанные на длительное скрытое присутствие в сетях выбранных целей.