Chinesische Hacker kompromittieren ISP, um DNS-Antworten zu vergiften

Forscher der Cybersicherheitsfirma Volexity haben am Freitag enthüllt, dass eine chinesische Hackergruppe ‚StormBamboo‘ erfolgreich einen Internetdienstanbieter (ISP) kompromittiert hat, um automatische Software-Updates mit Malware auszunutzen.

Diese chinesische Cyber-Spionagebedrohungsgruppe, die auch als Evasive Panda, Daggerfly und StormCloud verfolgt wird, ist seit mindestens 2012 aktiv und zielt auf Organisationen in Festlandchina, Hongkong, Macao, Nigeria und mehreren Ländern in Südostasien und Ostasien ab (über BleepingComputer).

Während eines Vorfalls, der von Volexity untersucht wurde, entdeckten die Bedrohungsforscher, dass StormBamboo Software anvisierte, die unsichere Aktualisierungsmechanismen wie HTTP verwendete und die digitalen Signaturen von Installationsprogrammen nicht ordnungsgemäß validierte, um Malware-Payloads auf den Maschinen der Opfer, die macOS und Windows ausführen, zu installieren.

„Als diese Anwendungen ihre Updates abrufen wollten, installierten sie anstelle des beabsichtigten Updates Malware, einschließlich, aber nicht beschränkt auf MACMA und POCOSTICK (auch bekannt als MGBot),“ erklärte Volexity in einem am Freitag veröffentlichten Bericht.

Um dies zu tun, unterbrachen und modifizierten die Angreifer die DNS-Anfragen der Opfer und leiteten sie an bösartige IP-Adressen um.

Diese Technik lieferte Malware an die Systeme der Opfer von den Command-and-Control (C2)-Servern von StormBamboo, wodurch keine Benutzerinteraktion erforderlich war.

Volexity stellte fest, dass StormBamboo mehrere Softwareanbieter anvisierte, die automatische Aktualisierungsmechanismen verwenden, und dabei unterschiedliche Komplexitätsgrade in ihren Schritten zur Verbreitung von Malware verwendeten.

„Zum Beispiel nutzten sie die Anfragen von 5KPlayer zur Aktualisierung der youtube-dl-Abhängigkeit, um einen mit einem Hintertür-Installer, der auf ihren C2-Servern gehostet wurde, zu pushen,“ stellte der Bericht von BleepingComputer fest.

„Nachdem sie die Systeme des Ziels kompromittiert hatten, installierten die Bedrohungsakteure eine bösartige Google Chrome-Erweiterung (ReloadText), die es ihnen ermöglichte, Browser-Cookies und Mail-Daten zu ernten und zu stehlen.“

Die Bedrohungsforscher benachrichtigten und arbeiteten mit dem ISP zusammen, der dann wichtige Verkehrslenkungsgeräte in ihrem Netzwerk untersuchte. Nachdem der ISP neu gestartet wurde, nahm er bestimmte Netzwerkkomponenten offline, was sofort die DNS-Vergiftung stoppte.

„StormBamboo ist ein hochqualifizierter und aggressiver Bedrohungsakteur, der Dritte (in diesem Fall einen ISP) kompromittiert, um beabsichtigte Ziele zu verletzen.

Die Vielfalt der in verschiedenen Kampagnen von diesem Bedrohungsakteur eingesetzten Malware deutet darauf hin, dass erhebliche Anstrengungen investiert werden, mit aktiv unterstützten Payloads nicht nur für macOS und Windows, sondern auch für Netzwerkgeräte,“ schlossen die Forscher.