MgBot バックドア

中国と連携した高度な持続的脅威（APT）活動は、ドメインネームシステム（DNS）インフラを悪用してMgBotバックドアを配信する、長期にわたるサイバースパイ活動に起因するものとされています。この活動は、トルコ、中国、インドで厳選された標的を標的とし、2022年11月から2024年11月まで活動を継続しました。

作戦の背後にいる敵

この活動は、Evasive Pandaとして広く知られる脅威アクター（Bronze Highland、Daggerfly、StormBambooといった名前でも追跡されている）との関連性が指摘されています。このグループは少なくとも2012年から活動していると評価されており、広範囲にわたる機会主義的な攻撃ではなく、標的を絞った侵入を得意としています。

中間者攻撃を核とした戦術

このキャンペーンの中心は、中間者攻撃（AitM）技術の利用でした。攻撃者はDNSレスポンスを操作し、被害者を密かに自らの管理下にあるインフラにリダイレクトしました。マルウェアローダーは正確なファイル位置に配置され、暗号化されたコンポーネントは攻撃者が管理するサーバー上にホストされ、正規のウェブサイトに関連付けられた特定のDNSクエリへの応答としてのみ配信されました。

DNSポイズニングの悪用のパターン

このキャンペーンは孤立した事例ではありません。Evasive PandaはDNSポイズニングの専門知識を繰り返し実証してきました。以前の調査では、2023年4月にも同様の戦術が用いられていることが指摘されており、このグループはサプライチェーンの侵害またはAitM攻撃のいずれかを利用して、Tencent QQなどの信頼できるソフトウェアのトロイの木馬版を中国本土の国際NGOに配布したと考えられます。

2024年8月、さらなる報道により、このグループが名前の明かされていないインターネットサービスプロバイダー（ISP）に侵入し、汚染されたDNS応答を悪用して、特定の標的に悪意のあるソフトウェアの更新を配布していたことが明らかになりました。

中国と連携したAitMアクターのより広範なエコシステム

Evasive Pandaは、AitMベースのポイズニングを悪用してマルウェアの配信とネットワーク内での移動を行う、中国と連携した広範な脅威グループの一部です。アナリストは、同様の手法を使用している活動中のグループを少なくとも10グループ特定しており、DNS操作がこのエコシステムにおいて好まれる手法となっていることを裏付けています。

餌として利用されるソフトウェアアップデートの武器化

記録された侵入事例では、被害者は正規のサードパーティ製ソフトウェアを装った偽のアップデートで誘惑されていました。特に目立った事例の一つは、中国のテクノロジー企業Sohuの動画ストリーミングアプリケーションであるSohuVAのアップデートを装ったものでした。このアップデートは正規のドメインp2p.hd.sohu.com[.]cnから発信されているように見えました。これは、アプリケーションがappdata\roaming\shapp\7.0.18.0\package以下の標準ディレクトリにあるバイナリのアップデートを試行する際に、DNSポイズニングによってトラフィックが悪意のあるサーバーにリダイレクトされたことを強く示唆しています。

研究者らは、Baidu の iQIYI Video、IObit Smart Defrag、Tencent QQ の偽のアップデータを悪用した並行キャンペーンも観測しました。

信頼されたドメインを介した多段階ペイロード配信

偽のアップデートの実行に成功すると、シェルコードを起動する初期ローダーが展開されました。このシェルコードは、PNG画像に偽装された暗号化された第2段階のペイロードを、今回もDNSポイズニングによって取得しました。今回は正規のドメインdictionary.comを悪用していました。

攻撃者はDNS解決を操作し、dictionary.comは攻撃者が管理するIPアドレスに解決されるようにしました。これらのIPアドレスは、被害者の地理的位置とISPに基づいて選択的に決定されます。このペイロードを取得するために使用されたHTTPリクエストには、被害者のWindowsバージョンが含まれていました。これにより、攻撃者は特定のOSビルドに合わせて後続のアクションを調整できたと考えられます。この選択的な標的設定は、MACMAとして知られるmacOSマルウェアの拡散を含む、このグループが以前に用いたウォーターホール型攻撃と共通しています。

DNSポイズニングがどのように実行されたか

DNS 応答をポイズニングするために使用される正確な方法はまだ確認されていませんが、捜査員は主に次の 2 つの可能性を疑っています。

• 被害者の ISP を選択的に侵害し、DNS トラフィックを操作するためにエッジ デバイスにネットワーク インプラントを埋め込む可能性があります。
• 被害者の環境内のルーターまたはファイアウォールを直接侵害し、DNS 応答をローカルで変更します。

洗練されたローダーチェーンとカスタム暗号化

第二段階のマルウェア配信プロセスは意図的に複雑化されています。最初のシェルコードは、被害者固有のペイロードを復号して実行します。これは、標的ごとに固有の暗号化ファイルを生成することで、検出を困難にすると考えられています。

libpython2.4.dll に偽装されたセカンダリローダーは、名前が変更された古い python.exe をサイドロードします。実行されると、C:\ProgramData\Microsoft\eHome\perf.dat から次の段階のペイロードを取得・復号します。このファイルには、最初に XOR 暗号化され、次に復号され、最後に Microsoft のデータ保護 API (DPAPI) と RC5 アルゴリズムを組み合わせたカスタムハイブリッドを使用して再暗号化されたマルウェアが含まれています。この設計により、ペイロードは元の被害者のシステムでのみ復号可能となり、傍受やオフライン分析が著しく困難になります。

MgBot：ステルス性と機能性を兼ね備えたインプラント

復号後、ペイロードは正規のsvchost.exeプロセスに注入され、MgBotバックドアの亜種であることが明らかになります。このモジュール型インプラントは、以下を含む幅広いスパイ活動機能をサポートしています。

• ファイルの収集と流出
• キーストロークのロギングとクリップボードの収集
• 音声録音
• ブラウザに保存された認証情報の盗難

これらの機能により、攻撃者は侵害したシステムへの長期にわたる秘密のアクセスを維持できます。

進化し続ける脅威

この攻撃キャンペーンは、Evasive Pandaの継続的な進化と技術的洗練を浮き彫りにしています。DNSポイズニング、信頼されたブランドのなりすまし、多層ローダー、システムバウンド暗号化を組み合わせることで、同グループは防御を回避しながらも、高価値ターゲットへの持続的なアクセスを維持する明確な能力を示しています。この攻撃活動は、機密性の高い環境におけるDNSセキュリティの強化、サプライチェーンの検証、そして更新メカニズムの監視の必要性を改めて浮き彫りにしています。