一个名为 StormBamboo 的黑客组织入侵了一家未公开的互联网服务提供商 (ISP),并使用恶意软件毒害软件自动更新。
该网络间谍组织也被称为 Evasive Panda、Daggerfly 和 StormCloud,自 2012 年以来一直活跃。
Volexity 威胁研究人员透露,网络间谍团伙利用不安全的 HTTP 软件更新机制(未验证数字签名)在受害者的 Windows 和 macOS 设备上部署恶意软件负载。
网络安全公司 Volexity在周五发布的一份报告中解释道:“当这些应用程序检索更新时,它们不会安装预期的更新,而是会安装恶意软件,包括但不限于 MACMA 和 POCOSTICK(又名 MGBot)。”
为了实现这一目标,攻击者拦截并修改了受害者的 DNS 请求,并用恶意 IP 地址对其进行毒害。这样,无需用户交互,恶意软件便会从 StormBamboo 的命令和控制服务器传送到目标系统。
例如,他们利用 5KPlayer 请求更新 youtube-dl 依赖项,以推送托管在其 C2 服务器上的后门安装程序。
在入侵目标系统后,攻击者安装了恶意 Google Chrome 扩展程序 (ReloadText),这使得他们能够收集和窃取浏览器 cookie 和邮件数据。
StormBamboo 攻击流程(Volexity)
研究人员补充道:“Volexity 观察到StormBamboo 针对多家软件供应商。”“Volexity 通知了 ISP 并与其合作,后者调查了其网络上提供流量路由服务的各种关键设备。随着 ISP 重新启动并使网络的各个组件脱机,DNS 投毒立即停止。”
2023 年 4 月,ESET 发布了一篇博客文章,介绍了 Volexity 自 2018 年以来一直跟踪的恶意软件家族 POCOSTICK。
ESET 没有直接证据,但提出最有可能的感染源是中间人 (AiTM)。Volexity 研究团队在真实案例中证实这种情况,并证明攻击者能够控制目标 ISP 的 DNS 基础设施,从而修改受害组织网络中的 DNS 响应。
Volexity的威胁情报研究人员得出结论:
StormBamboo 是一名技术高超、攻击性极强的威胁实施者,他通过入侵第三方(在本例中为 ISP)来攻击目标。攻击者在各种活动中使用的恶意软件表明,他们投入了大量精力,不仅积极支持 macOS 和 Windows 的有效负载,还支持网络设备。
研究人员证实了 ESET 对 POCOSTICK 恶意软件感染媒介的假设。攻击者可以拦截 DNS 请求并用恶意 IP 地址对其进行毒害,然后使用此技术滥用使用 HTTP 而非 HTTPS 的自动更新机制。
转自军哥网络安全读报,原文链接:https://mp.weixin.qq.com/s/LoFBeztuZfEM_mM6zPnnCg
暂无评论内容