【精選威脅情資】Evasive Panda 潛伏兩年：利用 DNS 投毒與軟體更新機制滲透中印土關鍵產業

‍

危害與影響

Evasive Panda 於 2022 年 11 月至 2024 年 11 月間，發動了一場高度精密的長期網路間諜戰。攻擊範圍橫跨多國產業，土耳其、中國與印度為重災區。EvasivePanda 亦被稱為 Bronze Highland、Daggerfly、StormBamboo，自 2012 年便以先進戰術聞名，不斷優化其工具與技術，以躲避偵測並在受害系統中長期潛伏。

‍

分析師觀點

Evasive Panda 過去數年對全世界發起許多攻擊，此次偽裝了許多在中國被廣泛使用的服務，如：搜狐、愛奇藝、騰訊等，可見其主要目標為中國大眾。此事件還會偵測受害主機的版本號，過往研究發現 Evasive Panda 會針對 Windows 使用MgBot、針對 macOS 使用 Macma 這兩種不同的植入程式，可以推測他們會針對不同版本的 OS 進行客製化的攻擊。另外，多數受害者遭入侵後長達一年以上仍處於被掌控狀態，顯示攻擊者具備長期間諜活動與遠端控制的能力。

‍

描述

本次行動採用高度精準的「對手中間人」（Adversary-in-the-Middle, AitM）攻擊，透過 DNS 投毒攔截、將合法軟體更新請求重新導向至攻擊者控制的伺服器。攻擊者結合了隱匿loader 與挾帶 MgBot 後門植入程式的木馬更新檔，成功入侵多款廣泛使用的中國應用程式的更新機制，包括 SohuVA、愛奇藝影音（iQIYI Video）、IObit Smart Defrag 與騰訊 QQ 等。攻擊者透過偽裝成例行軟體維護，滲透受害系統，大幅提升感染成功率且不易引起懷疑。

此惡意軟體具備高度複雜的基礎架構：攻擊者開發了一種全新的 loader，採用多階段 shellcode 執行流程、結合 Microsoft Data ProtectionAPI（DPAPI）與 RC5 加密的混合式加密機制，以及動態執行階段 API 解析。這些特性不僅大幅增加逆向工程與鑑識分析的難度，也讓惡意程式能針對每一位受害者量身訂製有效 payload，強化隱蔽性與韌性。此外，MgBot 植入程式透過 DLL 側載注入合法且已簽章的系統程序（如 svchost.exe），可以完全在記憶體中運作，躲避傳統安全解決方案的偵測。

‍

技術分析

本章深入剖析 Evasive Panda APT 行動的技術細節，全面說明其根本成因與攻擊者所採用的戰術。透過 MITREATT&CK 框架的視角，我們逐步檢視攻擊者如何執行攻擊鏈的每個階段。

偵查 (Reconnaissance)

Evasive Panda 組織以針對性偵察活動為開端，目標在蒐集受害者基礎架構的關鍵資訊。此階段的核心手法為 DNS 投毒攻擊：藉由操控 DNS 回應，將原本指向合法軟體更新服務的請求（例如 SohuVA 與 http://dictionary.com）重新導向至攻擊者控制的伺服器，這使攻擊者能透過觀察網路流量模式與受害者軟體版本，掌握受害環境，為後續客製化有效 payload。

初始存取 (Initial Access)

攻擊者透過木馬軟體更新取得初始立足點，目標鎖定多款熱門中國應用程式，如SohuVA、愛奇藝影音（iQIYI Video）、IObit SmartDefrag 與騰訊 QQ。攻擊者偽裝成合法更新套件的可執行檔（如sohuva_update_10.2.29.1-lup-s-tp.exe），這些檔案可直接投遞給受害者，或利用DNS 投毒將原本的更新請求重導至 C2 進行傳輸。

執行 (Execution)

惡意程式一旦送達，便會啟動一套以 C++ 與 Windows Template Library（WTL）開發的多階段 loader 架構。loader 首先使用自訂的 XOR演算法解密一段加密組態緩衝區，再解壓縮其中以 LZMA 壓縮的有效payload。

依登入使用者的權限，執行流程有所不同：

• 若當前使用者為 SYSTEM，惡意程式會複製自身並修改檔名（在檔名後附加 ext.exe），再透過 ShellExecuteW API 重新執行。    
• 若使用者不是 SYSTEM，則會將 explorer.exe 複製至 %TEMP% 目錄並給予暫時檔名，隨後刪除原始檔案。此步驟資源消耗較大，設計目的可能是為了隱匿或干擾。

loader 同時在執行階段解密關鍵 API 函式名稱（如kernel32.dll、VirtualProtect），以便動態且隱蔽地解析 Windows API 位址。解密後的 shellcode（約 9556 位元組）會被注入 loader 的 .data 區段。由於該區段原本不具備執行權限，惡意程式會使用VirtualProtect 將其標記為可執行，藉此在記憶體中執行 shellcode，避開許多靜態與行為式偵測機制。

持續性（Persistence）

攻擊者透過 DLL 側載技術來達到持續潛伏：攻擊者使用一個偽裝成 libpython2.4.dll（原為合法 Windows 函式庫）的 Secondary loader，一個具有簽章但已過時的可執行檔（evteng.exe，一個合法 Python 包裝程式）會載入此惡意 DLL，使攻擊者在可信程序的外衣下執行惡意程式碼。

防禦規避（DefenseEvasion）

攻擊者使用多種高度複雜的規避偵測機制：

• 混合式加密：有效 payload 與組態檔案採用結合 Microsoft DPAPI 與 RC5 演算法的自訂加密機制，RC5 金鑰本身以 DPAPI 保護，與加密後的有效 payload 一同儲存在如 perf.dat 等檔案中。此機制確保僅能在遭感染主機上完成解密，大幅提升分析與靜態偵測的困難度。    
• DNS 投毒：將合法更新請求引導至攻擊者控制的伺服器，不僅便於投遞惡意程式，亦可將 C2 通訊偽裝為正常網路流量。
• API 雜湊與動態解析：惡意 shellcode 使用 PJW 雜湊演算法，在執行階段動態解析 Windows API 函式，避免在程式中直接嵌入 API 名稱或匯入表，減少被偵測到的機會。    
• 記憶體中執行與注入：MgBot 植入程式利用 DLL 側載與執行階段記憶體注入，成功寄生在 svchost.exe 等受信任的系統程序中，規避以檔案為基礎的偵測。    
• 加密字串與組態：關鍵字串（例如：使用者名稱 SYSTEM、檔名 ext.exe）與組態資料皆以加密方式儲存，僅在執行階段透過 XOR 運算解密。

探索（Discovery）

惡意程式會使用 RtlGetVersion API，查詢當前登入的使用者名稱與 Windows 作業系統版本，以偵測受害者環境。這些資訊會被放在被攻擊者控制的伺服器 HTTP 標頭中，使攻擊者能根據受害者的作業系統與使用者情境，客製化攻擊 payload。

命令與控制（Commandand Control）

透過多組硬編碼 IP 位址和網域進行命令與控制，這些資訊儲存在解密後的組態檔內。惡意程式透過模仿合法流量的 HTTP 請求進行隱蔽通訊，並常將有效 payload 偽裝成 PNG 影像等看似無害的檔案。

‍

緩解措施

Evasive Panda APT 行動對組織構成重大挑戰，我們認為有效緩解策略必須是全方位的，涵蓋技術、作業與策略層面。本章將說明關鍵緩解措施，協助組織防範類似攻擊並降低遭入侵風險。

網路安全（NetworkSecurity）

• DNS 安全：導入 DNSSEC（Domain Name System Security Extensions），以防範 DNS 投毒。DNSSEC 能驗證 DNS 回應的真實性，降低流量被重導至攻擊者控制伺服器的風險。
• 防火牆與入侵偵測系統（IDS）：部署防火牆與 IDS，以監控並阻擋可疑活動。透過適當規則設定，偵測並封鎖與 DNS 投毒及其他 APT 戰術相關的流量模式。
• 網路分段（Network Segmentation）：將網路分段以限制惡意程式的橫向移動，確保關鍵系統與安全性較低區域相互隔離，在發生入侵時可以有效圍堵。

端點防護（EndpointProtection)

• 防毒與反惡意軟體：定期更新防毒與反惡意軟體解決方案，偵測並清除已知威脅。
• 端點偵測與回應（EDR）：EDR 能即時監控端點活動，並提供詳細日誌與可疑行為警示，協助快速應對資安事件。
• 應用程式白名單（Application Whitelisting）：實施應用程式白名單，限制未授權軟體的執行。此舉可有效阻止木馬化更新與其他惡意有效 payload 的執行。

使用者意識與訓練（UserAwareness and Training）

• 網釣意識訓練：定期為員工舉辦訓練課程，提升對網路釣魚與社交工程手法的警覺，同時訓練員工識別並回報可疑電子郵件與連結。
• 安全最佳實務：推廣安全最佳實務，包括使用強密碼、啟用多因素驗證（MFA），以及避免下載可疑檔案或軟體。

‍

參考資料

• Evasive Panda APT group delivers malware via updatesfor popular Chinese software
• Inside Evasive Panda’s Long-Running AitM Campaign
• China-Linked Evasive Panda Ran DNS Poisoning Campaign to Deliver MgBot Malware
• 中國駭客組織Evasive Panda透過AiTM網釣與DNS中毒，對土耳其、中國、印度散布惡意軟體
• Evasive Panda APT poisons DNS requests to deliver MgBot

‍

入侵指標 (Indicator of Compromise, IoCs)

FilePaths
C:\ProgramData\Microsoft\MF
C:\ProgramData\Microsoft\eHome\status.dat
C:\ProgramData\Microsoft\eHome\perf.dat

URLs andIPs

MgBot C2
60.28.124[.]21    
123.139.57[.]103  
140.205.220[.]98  
112.80.248[.]27   
116.213.178[.]11  
60.29.226[.]181   
58.68.255[.]45    
61.135.185[.]29   
103.27.110[.]232  
117.121.133[.]33  
139.84.170[.]230  

AitM C2
103.96.130[.]107  
158.247.214[.]28  
106.126.3[.]78    
106.126.3[.]56