كشفت شركة Kaspersky عن حملة تجسس سيبراني متقدمة نفذتها مجموعة تهديد مرتبطة بالصين تُعرف باسم Evasive Panda، والتي تحمل أسماء أخرى مثل Bronze Highland و Daggerfly و StormBamboo. المجموعة تنشط منذ عام 2012 على الأقل، وتستهدف بشكل خاص ضحايا في تركيا والصين والهند عبر هجمات تسميم نظام أسماء النطاقات (DNS Poisoning) لتوزيع برمجية خبيثة تُعرف باسم MgBot، وهي باب خلفي متطور قادر على جمع بيانات حساسة من الأجهزة المصابة.
أسلوب الهجوم وتقنيات التسلل
بحسب التحليل، اعتمدت المجموعة على هجمات Adversary-in-the-Middle (AitM)، حيث يتم اعتراض طلبات DNS وتوجيهها إلى خوادم يسيطر عليها المهاجمون. هذه التقنية سمحت لهم بتوزيع تحديثات مزيفة لتطبيقات مشهورة مثل SohuVA و iQIYI Video و Tencent QQ، إضافة إلى أدوات مثل IObit Smart Defrag. الهجوم يبدأ بتحميل أولي (loader) يطلق تعليمات برمجية (shellcode) مسؤولة عن جلب مرحلة ثانية مشفرة على شكل ملف صورة PNG من مواقع شرعية مثل dictionary.com بعد أن يتم التلاعب بعنوان الـ IP المرتبط بها.
مراحل متقدمة للتخفي والتشفير
التحقيقات أظهرت أن المهاجمين استخدموا آلية معقدة لتشفير البيانات، حيث يتم تخزين المرحلة الثانية في ملف perf.dat داخل مجلد النظام، بعد أن تُشفّر باستخدام مزيج من خوارزمية RC5 وواجهة حماية البيانات الخاصة بمايكروسوفت (DPAPI). هذه التقنية تجعل من الصعب على الباحثين الأمنيين تحليل البرمجية أو اعتراضها خارج الجهاز المستهدف. البرمجية الخبيثة النهائية هي نسخة معدلة من MgBot، تُحقن داخل عملية نظام شرعية مثل svchost.exe، ما يمنحها القدرة على العمل بشكل خفي لفترات طويلة. من أبرز وظائفها:
- تسجيل ضغطات لوحة المفاتيح
- جمع بيانات الحافظة (Clipboard)
- تسجيل الصوتيات
- سرقة بيانات الدخول من المتصفحات
- استخراج الملفات الحساسة
حملات سابقة ومؤشرات خطورة
ليست هذه المرة الأولى التي يُكشف فيها عن قدرات تسميم DNS لدى Evasive Panda. ففي أبريل 2023، رصدت شركة ESET هجوماً استهدف منظمة غير حكومية في الصين عبر نسخ مزيفة من تطبيق Tencent QQ. وفي أغسطس 2024، وثقت شركة Volexity حادثة أخرى حيث تم اختراق مزود خدمة إنترنت (ISP) لتوزيع تحديثات خبيثة على مستخدمين محددين. كما أن المجموعة تُعد جزءاً من شبكة أوسع تضم ما لا يقل عن عشرة مجموعات تهديد صينية أخرى مثل LuoYu و BlackTech و TheWizards APT، والتي تعتمد جميعها على تقنيات تسميم DNS أو هجمات التلاعب بالاتصالات لتحقيق وصول أولي أو حركة جانبية داخل الشبكات المستهدفة.
