Китайская хакерская группа, известная как StormBamboo, взломала неизвестного интернет-провайдера (ISP), чтобы отравить автоматические обновления программного обеспечения вредоносным ПО.
Эта кибершпионская группа, также отслеживаемая как Evasive Panda, Daggerfly и StormCloud, действует как минимум с 2012 года, атакуя организации в материковом Китае, Гонконге, Макао, Нигерии и различных странах Юго-Восточной и Восточной Азии.
В пятницу исследователи угроз из компании Volexity обнаружили, что китайская банда кибершпионов использовала небезопасные механизмы обновления программного обеспечения по протоколу HTTP, которые не проверяли цифровые подписи, для развертывания полезной нагрузки вредоносного ПО на устройствах жертв под управлением Windows и macOS.
"Когда эти приложения отправлялись за обновлениями, вместо того чтобы установить нужное обновление, они устанавливали вредоносное ПО, включая MACMA и POCOSTICK (он же MGBot), но не ограничиваясь ими", - поясняет компания Volexity, занимающаяся кибербезопасностью, в опубликованном в пятницу отчете.
Для этого злоумышленники перехватывали и изменяли DNS-запросы жертв и отравляли их вредоносными IP-адресами. Таким образом, вредоносное ПО доставлялось в системы жертв с командно-контрольных серверов StormBamboo без участия пользователя.
Например, они воспользовались запросами 5KPlayer на обновление зависимости youtube-dl, чтобы запустить инсталлятор с обратным доступом, размещенный на их серверах C2.
После компрометации систем жертв угрозы устанавливали вредоносное расширение Google Chrome (ReloadText), которое позволяло им собирать и красть куки браузера и почтовые данные.
"Компания Volexity заметила, что StormBamboo атакует нескольких поставщиков программного обеспечения, которые используют небезопасные рабочие процессы обновления, применяя различные уровни сложности для распространения вредоносного ПО", - добавили исследователи.
"Volexity уведомила провайдера и сотрудничала с ним, который проверил различные ключевые устройства, предоставляющие услуги маршрутизации трафика в своей сети. Когда провайдер перезагрузил и отключил различные компоненты сети, отравление DNS немедленно прекратилось".
В апреле 2023 года исследователи угроз ESET также заметили, что хакерская группа развернула бэкдор Pocostick (MGBot) для Windows, используя механизм автоматического обновления приложения для обмена сообщениями Tencent QQ в атаках, направленных на международные НПО (неправительственные организации).
Почти год спустя, в июле 2024 года, команда поиска угроз Symantec обнаружила китайских хакеров, атаковавших американскую НПО в Китае и несколько организаций на Тайване с помощью новых версий бэкдора Macma для macOS и вредоносной программы Nightdoor для Windows.
В обоих случаях, хотя мастерство злоумышленников было очевидным, исследователи полагали, что это была либо атака по цепочке поставок, либо атака "противник посередине" (AITM), но не смогли определить точный метод атаки.
43Министерство юстиции США подало иск против популярной социальной медиаплатформы TikTok и ее материнской компании ByteDance, обвинив их в широкомасштабном нарушении законов о защите частной жизни детей.
17Исследователи "Касперского" обнаружили новую версию печально известной шпионской программы Mandrake, раскрыв передовые методы обфускации, которые позволили ей обойти проверки безопасности Google Play и оставаться незамеченной в течение двух лет.
32Новая версия шпионской программы Mandrake для Android была обнаружена в пяти приложениях, загруженных 32 000 раз из Google Play, официального магазина приложений платформы.
37Продолжаем добавлять языки программирования для Вас.
Впереди много интересного!
Только свежие новости программирования и технологий каждый день.
Комментарии