تواصل مجموعة Evasive Panda APT، المعروفة أيضاً بأسماء مثل Bronze Highland وDaggerfly وStormBamboo، شن حملات تجسسية متقدمة منذ نوفمبر 2022، مستخدمة تقنيات متطورة لتوصيل برمجيات خبيثة جديدة، مما يثير قلقاً متزايداً بشأن الأمن السيبراني.
تستهدف المجموعة ضحايا محددين عبر قطاعات صناعية متعددة، مستغلة هجمات الوسيط (Adversary-in-the-Middle) بالتزامن مع تسميم نظام أسماء النطاقات (DNS Poisoning). وتشير أحدث التقارير إلى استمرار هذه العمليات حتى نوفمبر 2024، مع تأثر مستخدمين في تركيا والصين والهند.
حملات Evasive Panda APT المتطورة
يُخفي المهاجمون برمجياتهم الخبيثة في شكل تحديثات زائفة لتطبيقات شائعة مثل SohuVA وiQIYI Video وIObit Smart Defrag وTencent QQ. وعندما يحاول المستخدمون تنزيل هذه التحديثات، يقوم المهاجمون بالتلاعب بردود نظام أسماء النطاقات لتوجيه حركة المرور إلى خوادم خاصة بهم.
تبدو الحزمة الخبيثة، المسماة atd_update_10.2.29.1-lup-s-tp.exe، وكأنها تحديث شرعي، لكنها في الواقع تنزل برمجيات خبيثة من مصدر يتحكم فيه المهاجم. وقد كشفت أبحاث Securelist أن المهاجمين استخدموا هجوم تسميم DNS لتغيير استجابة DNS الخاصة بـ p2p.hd.sohu.com[.]cn لتشير إلى عنوان IP لخادم يتحكم فيه المهاجم.
وتُعد هذه التقنية فعالة في اعتراض طلبات التحديثات الشرعية وتقديم حمولات خبيثة بدلاً منها. يقوم المهاجمون بتخزين أجزاء مشفرة من البرمجيات الخبيثة على خوادمهم، والتي يتم حلها كاستجابات لطلبات DNS لمواقع ويب محددة، مما يجعل عملية الكشف والتحليل صعبة للغاية.
آلية الإصابة والنمطية المعقدة
تعتمد مجموعة Evasive Panda على عملية إصابة متعددة المراحل مع استخدام تشفير هجين لجعل عملية التحليل أكثر تعقيداً. يبحث الشل كود (shellcode) في المرحلة الأولى عن ملف DAT محدد داخل دليل تثبيت البرمجية الخبيثة.
في حال وجود الملف، يتم فك تشفيره باستخدام واجهة برمجة تطبيقات CryptUnprotectData، التي تضمن إمكانية فك تشفير البيانات فقط على الجهاز المصاب. وبعد فك التشفير، يقوم الشل كود بحذف الملف لإزالة أي آثار للهجوم.
أما إذا لم يكن ملف DAT موجوداً، يقوم الشل كود بتنزيل بيانات مشفرة من موقع dictionary[.]com. وعلى الرغم من أن هذا الموقع يبدو شرعياً، إلا أنه تم اختراقه عبر تسميم DNS. يقوم المهاجمون بالتلاعب بعنوان IP المرتبط بهذا الموقع، مما يتسبب في توجيه أنظمة الضحايا إلى عناوين IP مختلفة يتحكم فيها المهاجمون بناءً على الموقع الجغرافي.
تقوم البرمجية الخبيثة باسترداد شل كود من المرحلة الثانية، تم إخفاؤه على شكل ملف PNG. تستخدم هذه الحمولة تشفيراً هجيناً مخصصاً يجمع بين واجهة برمجة تطبيقات حماية البيانات (DPAPI) من Microsoft وخوارزمية RC5. يتم تشفير مفتاح تشفير RC5 باستخدام DPAPI وتخزينه في أول 16 بايت من ملف perf.dat، يليه المحتوى المشفر بواسطة RC5.
ولفك التشفير، يتم فك تشفير مفتاح RC5 المشفر أولاً باستخدام DPAPI، ثم يتم استخدامه لفك تشفير محتويات الملف المتبقية. يعتمد المحمل الثانوي، libpython2.4.dll، على ملف تنفيذي شرعي وموقع اسمه evteng.exe لتحقيق تحميل خفي عبر آلية DLL sideloading.
بعد فك التشفير، تقوم البرمجية الخبيثة بحقن برنامج MgBot implant في عملية svchost.exe الشرعية، مما يسمح لها بالحفاظ على استمراريتها وتجنب الكشف. تتضمن التكوينات أسماء للحملات، وعناوين IP للخوادم القيادية والتحكم (C2) المضمنة، ومفاتيح التشفير، مع بقاء بعض الخوادم نشطة لعدة سنوات.