كشفت شركة كاسبرسكي عن حملة تجسس إلكتروني متطورة نفذتها مجموعة Evasive Panda الصينية استهدفت ضحايا في تركيا والصين والهند عبر تسميم طلبات DNS لتوصيل برمجية MgBot الخبيثة، وذلك خلال الفترة من نوفمبر 2022 حتى نوفمبر 2024.
ما هي تقنية DNS Poisoning التي استخدمتها Evasive Panda؟
اعتمدت المجموعة الإجرامية المعروفة أيضاً بأسماء Bronze Highland وDaggerfly وStormBamboo على هجمات الوسيط (AitM) المتقدمة. أوضح الباحث فاتح شنسوي من كاسبرسكي أن الهجوم تضمن إسقاط برامج تحميل في مواقع محددة وتخزين أجزاء مشفرة من البرمجيات الخبيثة على خوادم يسيطر عليها المهاجمون.
تُحل هذه الخوادم كاستجابة لطلبات DNS محددة لمواقع معينة، مما يسمح للمهاجمين باعتراض الاتصالات وحقن البرمجيات الخبيثة دون علم الضحايا.
كيف نفذت المجموعة هجماتها على الضحايا؟
استخدمت Evasive Panda طُعوماً تتنكر في هيئة تحديثات لبرامج طرف ثالث شهيرة، حسب تقرير تيكبامين. من أبرز الحالات المكتشفة:
- تحديثات مزيفة لخدمة SohuVA من شركة Sohu الصينية للبث المباشر
- تحديثات وهمية لبرنامج iQIYI Video من Baidu
- إصدارات مخترقة من IObit Smart Defrag وTencent QQ
في حالة SohuVA، سمم المهاجمون استجابة DNS للنطاق p2p.hd.sohu.com[.]cn لإعادة توجيهه إلى خادم يتحكمون فيه، بينما كان تطبيق SohuVA الأصلي يحاول تحديث ملفاته التنفيذية.
هل هذه المرة الأولى لاستخدام Evasive Panda هذه التقنية؟
ليست هذه المرة الأولى التي تظهر فيها قدرات Evasive Panda على تسميم DNS. في أبريل 2023، رصدت ESET قيام المجموعة بهجوم على سلسلة التوريد أو هجوم AitM لتوزيع نسخ مخترقة من تطبيقات شرعية مثل Tencent QQ.
كما كشف تقرير Volexity في أغسطس 2024 عن اختراق المجموعة لمزود خدمة إنترنت غير محدد عبر هجوم تسميم DNS لدفع تحديثات برمجيات خبيثة للأهداف المحددة.
ما حجم التهديد الصيني في هجمات DNS Poisoning؟
Evasive Panda ليست الوحيدة، وفقاً لتقرير تيكبامين. تتبع ESET حالياً 10 مجموعات نشطة من الصين تستخدم تقنية AitM للوصول الأولي أو الحركة الجانبية، منها:
- LuoYu
- BlackTech
- TheWizards APT
- Blackwood
- PlushDaemon
- FontGoblin
كيف تحمي نفسك من هجمات DNS Poisoning؟
تُعتبر Evasive Panda نشطة منذ عام 2012 على الأقل، وتستهدف بشكل رئيسي منظمات غير حكومية دولية وكيانات حكومية. يُنصح المستخدمون بتحديث برامجهم من المصادر الرسمية فقط واستخدام حلول أمنية موثوقة للكشف عن التحديثات المزيفة.
تشكل هجمات تسميم DNS تهديداً خطيراً لأنها تستغل ثقة المستخدمين بالتحديثات التلقائية، مما يجعل الكشف عنها صعباً دون أدوات أمنية متقدمة.
