中国のハッカーがISPを侵害しDNS応答を毒殺

サイバーセキュリティ企業Volexityの研究者たちは金曜日、中国のハッキンググループ「StormBamboo」が成功裏に インターネットサービスプロバイダー（ISP）を侵害し、マルウェアを使った自動ソフトウェア更新を悪用したことを明らかにしました。

この中国のサイバー諜報脅威グループは、Evasive Panda、Daggerfly、StormCloudとしても追跡されており、少なくとも2012年から活動しており、中国本土、香港、マカオ、ナイジェリア、そしていくつかの東南アジアおよび東アジアの国々にわたる組織を標的にしています（BleepingComputer経由）。

Volexityが調査したある事件では、脅威研究者たちはStormBambooがHTTPなどの安全でない更新メカニズムを使用するソフトウェアを標的にし、インストーラーのデジタル署名を適切に検証せずに、macOSおよびWindowsを実行している被害者のマシンにマルウェアペイロードを展開していることを発見しました。

「これらのアプリケーションが更新を取得しようとしたとき、意図された更新をインストールする代わりに、MACMAやPOCOSTICK（別名MGBot）を含むマルウェアをインストールしてしまいました」と、Volexityは金曜日に発表した報告書で説明しました。

そのために、攻撃者は被害者のDNSリクエストを中断し、変更して悪意のあるIPアドレスにリダイレクトしました。

この手法により、StormBambooのコマンド＆コントロール（C2）サーバーから被害者のシステムにマルウェアが配信され、ユーザーの操作は必要ありませんでした。

Volexityは、StormBambooが自動更新メカニズムを使用する複数のソフトウェアベンダーを標的にし、マルウェアを押し込むための手順に異なる複雑さのレベルを使用していることを発見しました。

「例えば、彼らは5KPlayerのリクエストを利用してyoutube-dlの依存関係を更新し、C2サーバーにホストされたバックドア付きインストーラーを押し込みました」と、BleepingComputerの報告書は述べています。

「ターゲットのシステムを侵害した後、脅威アクターは悪意のあるGoogle Chrome拡張機能（ReloadText）をインストールし、ブラウザのクッキーやメールデータを収集し盗むことを可能にしました。」

脅威研究者たちはISPに通知し、ISPはその後、ネットワーク上の重要なトラフィックルーティングデバイスを調査しました。ISPが再起動すると、特定のネットワークコンポーネントがオフラインになり、DNSの毒殺が即座に停止しました。

「StormBambooは、第三者（この場合はISP）を侵害して意図されたターゲットに侵入する、高度なスキルを持つ攻撃者です。

この脅威アクターによって様々なキャンペーンで使用されるマルウェアの多様性は、macOSやWindowsだけでなく、ネットワーク機器に対してもアクティブにサポートされるペイロードにかなりの努力が投資されていることを示しています」と、研究者たちは結論付けました。