Un grup de hackeri chinezi cunoscut sub numele de StormBamboo a compromis un furnizor de servicii de internet (ISP) nedezvăluit pentru a infecta actualizările automate de software cu malware.
Cunoscut și sub numele de Evasive Panda, Daggerfly și StormCloud, acest grup de cyber-spionaj este activ din cel puțin 2012, vizând organizații din China continentală, Hong Kong, Macao, Nigeria și diverse țări din Asia de Sud și de Est.
Vineri, cercetătorii de amenințări de la Volexity au dezvăluit că grupul de cyber-spionaj chinez a exploatat mecanismele nesigure de actualizare a software-ului HTTP care nu validau semnăturile digitale pentru a implementa sarcini de malware pe dispozitivele Windows și macOS ale victimelor.
„Când aceste aplicații mergeau să-și preia actualizările, în loc să instaleze actualizarea dorită, ele ar instala malware, inclusiv, dar fără a se limita la MACMA și POCOSTICK (cunoscut și sub numele de MGBot),” a explicat compania de securitate cibernetică Volexity într-un raport publicat vineri.
Pentru a face acest lucru, atacatorii au interceptat și modificat cererile DNS ale victimelor și le-au infectat cu adrese IP maligne. Acest lucru a livrat malware-ul către sistemele țintă de pe serverele de comandă și control ale StormBamboo fără a fi necesară interacțiunea utilizatorului.
De exemplu, aceștia au profitat de cererile 5KPlayer pentru a actualiza dependența youtube-dl pentru a impinge un installer cu backdoor găzduit pe serverele lor C2.
După compromiterea sistemelor țintă, actorii amenințării au instalat o extensie malitioasă pentru Google Chrome (ReloadText), care le-a permis să colecteze și să fure cookie-uri de browser și date de e-mail.
„Volexity a observat că StormBamboo vizează mai mulți furnizori de software, care folosesc fluxuri de lucru nesigure pentru actualizări, folosind diferite niveluri de complexitate în pașii lor pentru a impinge malware,” au adăugat cercetătorii.
„Volexity a notificat și a lucrat cu ISP-ul, care a investigat diverse dispozitive cheie care furnizează servicii de rutare a traficului pe rețeaua lor. Pe măsură ce ISP-ul a repornit și a scos diverse componente ale rețelei offline, poluarea DNS a încetat imediat.”
În aprilie 2023, cercetătorii de amenințări de la ESET au observat de asemenea grupul de hackeri implementând backdoor-ul Windows Pocostick (MGBot) prin abuzarea mecanismului de actualizare automată pentru aplicația de mesagerie Tencent QQ în atacuri împotriva ONG-urilor internaționale (organizații neguvernamentale).
Aproape un an mai târziu, în iulie 2024, echipa de vânătoare de amenințări de la Symantec a observat hackerii chinezi vizând o ONG americană din China și mai multe organizații din Taiwan cu noi versiuni de malware Macma pentru macOS și Nightdoor pentru Windows.
În ambele cazuri, deși abilitățile atacatorilor erau evidente, cercetătorii au crezut că era vorba fie de un atac asupra lanțului de aprovizionare, fie de un atac al adversarului în mijlocul (AITM), dar nu au putut identifica exact metoda atacului.
Hackerii chinezi implementează noua versiune de backdoor Macma pentru macOS
Hackerii folosesc malware-ul F5 BIG-IP pentru a fura date în mod furtiv ani de zile
Hackerii UNC3886 folosesc rootkit-uri Linux pentru a se ascunde pe mașinile virtuale VMware ESXi
Hackerii chinezi au spart 20.000 de sisteme FortiGate la nivel mondial
Grupurile de hackeri chinezi colaborează într-o campanie de cyber-spionaj
Leave a Reply