Китайские хакеры скомпрометировали провайдера, чтобы отравить DNS-ответы

Исследователи кибербезопасности из компании Volexity в пятницу сообщили, что китайская хакерская группа «StormBamboo» успешно скомпрометировала интернет-провайдера (ISP), чтобы злоупотребить автоматическими обновлениями программного обеспечения с помощью вредоносного ПО.

Эта китайская группа кибер-шпионажа, также отслеживаемая как Evasive Panda, Daggerfly и StormCloud, активна как минимум с 2012 года, нацеливаясь на организации в материковом Китае, Гонконге, Макао, Нигерии и нескольких странах Юго-Восточной и Восточной Азии (по данным BleepingComputer).

Во время одного из инцидентов, расследованных Volexity, исследователи угроз обнаружили, что StormBamboo нацелилась на программное обеспечение, использующее небезопасные механизмы обновления, такие как HTTP, и не проверяющее должным образом цифровые подписи установщиков для развертывания вредоносных программ на машинах жертв, работающих под управлением macOS и Windows.

«Когда эти приложения пытались получить свои обновления, вместо установки запланированного обновления они устанавливали вредоносное ПО, включая, но не ограничиваясь MACMA и POCOSTICK (также известный как MGBot),» объяснила Volexity в отчете, опубликованном в пятницу.

Для этого злоумышленники прервали и изменили DNS-запросы жертв и перенаправили их на вредоносные IP-адреса.

Эта техника доставляла вредоносное ПО на системы жертв с серверов управления и контроля (C2) StormBamboo, таким образом, не требуя взаимодействия с пользователем.

Volexity обнаружила, что StormBamboo нацелилась на несколько поставщиков программного обеспечения, которые используют механизмы автоматического обновления, применяя различные уровни сложности в своих действиях по распространению вредоносного ПО.

«Например, они воспользовались запросами 5KPlayer для обновления зависимости youtube-dl, чтобы продвинуть установщик с задней дверью, размещенный на их серверах C2,» говорится в отчете BleepingComputer.

«После компрометации систем цели злоумышленники установили вредоносное расширение Google Chrome (ReloadText), которое позволило им собирать и красть куки браузера и данные почты.»

Исследователи угроз уведомили и работали с ISP, который затем исследовал важные устройства маршрутизации трафика в своей сети. После перезагрузки ISP отключил определенные сетевые компоненты, что немедленно остановило отравление DNS.

«StormBamboo — это высококвалифицированный и агрессивный злоумышленник, который компрометирует третьи стороны (в данном случае, ISP), чтобы нарушить целевые объекты.

Разнообразие вредоносного ПО, используемого в различных кампаниях этой угрозы, указывает на значительные усилия, вложенные в поддержку активных полезных нагрузок не только для macOS и Windows, но и для сетевых устройств,» заключили исследователи.