2012年から活動している同グループは、2022年11月から2024年11月にかけてこのステルス性の高いキャンペーンを継続し、複数業界にわたり中国、インド、トルコの被害者を標的にした。
調査担当者は、攻撃者が DNSポイズニング を用いて正規の更新要求を 攻撃者が管理するIPアドレス へリダイレクトし、Windows Template Library(WTL)で構築されたカスタムC++ローダーを配布したとみている。
このローダーはXORベースのアルゴリズムで設定を復号し、 LZMA でデータを展開し、 %ProgramData%\Microsoft\MF 配下にマルウェアのコンポーネントをインストールした。特筆すべき点として、ユーザー名やプロセス名を含む重要な文字列はすべて暗号化された形式で保存され、解析回避が図られていた。
ローダーは複数の シェルコード 段階を実行し、それぞれがXORで復号されたうえで VirtualProtect API を用いて動的にロードされた。
シェルコードは PJWハッシュアルゴリズム を使用して実行時にWindows APIを解決し、ステルス実行を可能にした。
また、 CryptUnprotectData API を使用して、感染したマシンでのみ動作する固有のDATファイルを復号し、個別化されたペイロード配布を確実にした。
後続段階では、マルウェアは辞書サイトの the dictionary.]com の偽装版からPNG画像を装った暗号化ペイロードを取得し、再び DNS ポイズニング を用いてトラフィックをリダイレクトした。
これにより、復号されたペイロードは感染ホスト上でのみ読み取れるようになっていた。復号後のペイロードはその後、 svchost.exe などの正規プロセスにインジェクトされ、メモリ上でMgBotインプラントを実行した。
研究者らは、ツールセット、C2インフラ、そして同グループの諜報ツールキットの中核として残り続けている MgBot インプラントの再利用が重複していることから、この活動を Evasive Panda に結び付けた。
本作戦で使用されたC2インフラにはIP 60.28.124[.]21、 123.139.57[.]103、 103.96.130[.]107 が含まれ、テレメトリは2年にわたる持続的アクセスを示している。
Evasive Pandaの最新キャンペーンは、脅威アクターが ネットワークレベルの操作 と データ保護の悪用 を通じて従来の攻撃手法を洗練させていることを示しており、長期的なサイバー諜報脅威の進化する性質を浮き彫りにしている。
翻訳元: https://cyberpress.org/evasive-panda-adversary/