Evasive Panda скомпрометировала интернет-провайдера ради распространения малвари

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.695
Реакции
61.957
RUB
50
Эксперты Volexity , что в 2023 году китайская хак-группа скомпрометировала неназванного интернет-провайдера, чтобы внедрить малварь в автоматические обновления ПО, которые осуществлялись через HTTP.


Группировка Evasive Panda (она же StormBamboo, Bronze Highland, Daggerfly и StormCloud) активна как минимум с 2012 года и атакует организации на территории материкового Китая, Гонконга, Макао, Нигерии и различных стран Юго-Восточной и Восточной Азии.

arget-zvhhkivur9m-unsplash_1.jpg


Исследователи рассказывают, что на этот раз группировка эксплуатировала небезопасные механизмы обновления различного софта, работавшие через HTTP и не проверявшие цифровые подписи, для развертывания малвари на устройствах под управлением Windows и macOS.

«Когда приложения обращались за обновлениями, вместо того чтобы установить нужное обновление, они устанавливали вредоносное ПО, включая MACMA и POCOSTICK (он же MGBot)», — рассказывают в Volexity.

Ради этой кампании хакеры взломали неназванного провайдера, а затем осуществили атаку типа DNS poisoning, то есть перехватывали и изменяли DNS-запросы жертв, отравляя их вредоносными IP-адресами. Таким образом, малварь доставлялось в системы жертв прямо с управляющих серверов группировки, без какого-либо участия пользователя.

Например, злоумышленники использовали запросы 5KPlayer на обновление youtube-dl, чтобы загрузить инсталлятор с бэкдором со подконтрольного им сервера.



После компрометации в системы пострадавших устанавливали вредоносное расширение для Google Chrome (ReloadText), которое позволяло собирать и похищать файлы cookie и почтовые данные.

«Volexity обнаружила, что StormBamboo нацеливалась сразу на нескольких поставщиков программного обеспечения, которые используют небезопасные процессы обновления, — объясняют исследователи. — Volexity уведомила пострадавшего провайдера и совместно с ним проверила ряд ключевых устройств, обеспечивающих маршрутизацию трафика в его сети. Когда провайдер перезагрузил и отключил различные компоненты сети, отравление DNS немедленно прекратилось».


 
  • Теги
    bronze highland daggerfly stormbamboo stormcloud хак-группа
  • Сверху Снизу