China-Linked Evasive Panda Ran DNS Poisoning Campaign to Deliver MgBot Malware

Campagne de DNS empoisonné : le groupe Evasive Panda déploie le malware MgBot

Un groupe de cyberespionnage associé à la Chine, connu sous le nom d’Evasive Panda (également appelé Bronze Highland, Daggerfly, StormBamboo), a mené une campagne ciblée de novembre 2022 à novembre 2024. Cette opération exploitait des attaques par empoisonnement du système de noms de domaine (DNS) pour distribuer sa porte dérobée signature, MgBot. Les victimes ont été principalement localisées en Türkiye, en Chine et en Inde.

Points Clés :

• Technique principale : Attaques de l’homme du milieu (AitM) via l’empoisonnement du DNS.
• Ciblage : Victimes spécifiques en utilisant des leurres ressemblant à des mises à jour logicielles légitimes.
• Distribution du malware : Le DNS empoisonné redirige les requêtes vers des serveurs contrôlés par l’attaquant pour télécharger des parties du malware, y compris une charge utile chiffrée sous forme d’image PNG.
• Charge utile finale : Le malware MgBot, un implant modulaire capable de collecter des fichiers, d’enregistrer des frappes clavier, de capturer le contenu du presse-papiers, d’enregistrer des flux audio et de voler des identifiants de navigateurs.
• Sophistication : Utilisation d’un chiffrement personnalisé (hybride DPAPI/RC5) pour compliquer l’analyse et assurer la persistance.
• Historique : Evasive Panda utilise cette technique d’AitM depuis au moins 2012 et a déjà été observé l’utilisant pour distribuer MgBot et d’autres malwares.

Vulnérabilités exploitées :

Bien que l’article ne mentionne pas de CVE spécifiques directement liées à l’empoisonnement du DNS dans ce contexte, la technique elle-même exploite les vulnérabilités inhérentes à la résolution DNS. Les attaques impliquent la compromission potentielle de serveurs DNS, de routeurs, de pare-feu ou d’ Fournisseurs d’Accès Internet (FAI) pour manipuler les réponses DNS.

Recommandations :

• Sécurisation des infrastructures DNS : Les organisations devraient renforcer la sécurité de leurs serveurs DNS, mettre en œuvre des politiques de sécurité DNS strictes et surveiller les anomalies.
• Vigilance face aux mises à jour : Les utilisateurs doivent faire preuve d’une grande prudence lors de l’installation de mises à jour logicielles, en privilégiant les sources officielles et en vérifiant l’authenticité des sites web.
• Surveillance du réseau : Une surveillance attentive du trafic réseau peut aider à détecter des activités suspectes liées à des redirections DNS inattendues.
• Protection contre les malwares : Maintenir à jour les solutions de sécurité antivirus et anti-malware est essentiel pour détecter et neutraliser le malware MgBot.
• Segmentation réseau : La segmentation du réseau peut limiter la propagation latérale d’un malware une fois qu’un système est compromis.

Source