Хакеры взламывают ISP, чтобы заразить обновления программного обеспечения вредоносным ПО

Китайская хакерская группа, известная как StormBamboo, взломала неизвестного интернет-провайдера (ISP), чтобы отравить автоматические обновления программного обеспечения вредоносным ПО.

Эта кибершпионская группа, также отслеживаемая как Evasive Panda, Daggerfly и StormCloud, действует как минимум с 2012 года, атакуя организации в материковом Китае, Гонконге, Макао, Нигерии и различных странах Юго-Восточной и Восточной Азии.

В пятницу исследователи угроз из компании Volexity обнаружили, что китайская банда кибершпионов использовала небезопасные механизмы обновления программного обеспечения по протоколу HTTP, которые не проверяли цифровые подписи, для развертывания полезной нагрузки вредоносного ПО на устройствах жертв под управлением Windows и macOS.

"Когда эти приложения отправлялись за обновлениями, вместо того чтобы установить нужное обновление, они устанавливали вредоносное ПО, включая MACMA и POCOSTICK (он же MGBot), но не ограничиваясь ими", - поясняет компания Volexity, занимающаяся кибербезопасностью, в опубликованном в пятницу отчете.

Для этого злоумышленники перехватывали и изменяли DNS-запросы жертв и отравляли их вредоносными IP-адресами. Таким образом, вредоносное ПО доставлялось в системы жертв с командно-контрольных серверов StormBamboo без участия пользователя.

Например, они воспользовались запросами 5KPlayer на обновление зависимости youtube-dl, чтобы запустить инсталлятор с обратным доступом, размещенный на их серверах C2.

Скомпрометировав системы жертв, злоумышленники установили вредоносное расширение Google Chrome (ReloadText), которое позволило им собирать и красть куки браузера и почтовые данные.


Схема атаки StormBamboo (Volexity)

"Компания Volexity заметила, что StormBamboo атакует нескольких поставщиков программного обеспечения, которые используют небезопасные рабочие процессы обновления, применяя различные уровни сложности для распространения вредоносного ПО", - добавили исследователи.

"Volexity уведомила провайдера и сотрудничала с ним, который проверил различные ключевые устройства, предоставляющие услуги маршрутизации трафика в своей сети. Когда провайдер перезагрузил и отключил различные компоненты сети, отравление DNS немедленно прекратилось".

В апреле 2023 года исследователи угроз ESET также заметили, что хакерская группа развернула бэкдор Pocostick (MGBot) для Windows, используя механизм автоматического обновления приложения для обмена сообщениями Tencent QQ в атаках, направленных на международные НПО (неправительственные организации).

Почти год спустя, в июле 2024 года, команда поиска угроз Symantec обнаружила китайских хакеров, атаковавших американскую НПО в Китае и несколько организаций на Тайване с помощью новых версий бэкдора Macma для macOS и вредоносной программы Nightdoor для Windows.

В обоих случаях, хотя мастерство злоумышленников было очевидным, исследователи полагали, что это была либо атака по цепочке поставок, либо атака "противник посередине" (AITM), но не смогли определить точный метод атаки.

03.08.2024
https://www.bleepingcomputer.com/ne...-isp-to-poison-software-updates-with-malware/​