Эксперты Volexity обнаружили, что в 2023 году китайская хак-группа скомпрометировала неназванного интернет-провайдера, чтобы внедрить малварь в автоматические обновления ПО, которые осуществлялись через HTTP.
Группировка Evasive Panda (она же StormBamboo, Bronze Highland, Daggerfly и StormCloud) активна как минимум с 2012 года и атакует организации на территории материкового Китая, Гонконга, Макао, Нигерии и различных стран Юго-Восточной и Восточной Азии.
Исследователи рассказывают, что на этот раз группировка эксплуатировала небезопасные механизмы обновления различного софта, работавшие через HTTP и не проверявшие цифровые подписи, для развертывания малвари на устройствах под управлением Windows и macOS.
«Когда приложения обращались за обновлениями, вместо того чтобы установить нужное обновление, они устанавливали вредоносное ПО, включая MACMA и POCOSTICK (он же MGBot)», — рассказывают в Volexity.
Ради этой кампании хакеры взломали неназванного провайдера, а затем осуществили атаку типа DNS poisoning, то есть перехватывали и изменяли DNS-запросы жертв, отравляя их вредоносными IP-адресами. Таким образом, малварь доставлялось в системы жертв прямо с управляющих серверов группировки, без какого-либо участия пользователя.
Например, злоумышленники использовали запросы 5KPlayer на обновление youtube-dl, чтобы загрузить инсталлятор с бэкдором со подконтрольного им сервера.
После компрометации в системы пострадавших устанавливали вредоносное расширение для Google Chrome (ReloadText), которое позволяло собирать и похищать файлы cookie и почтовые данные.
«Volexity обнаружила, что StormBamboo нацеливалась сразу на нескольких поставщиков программного обеспечения, которые используют небезопасные процессы обновления, — объясняют исследователи. — Volexity уведомила пострадавшего провайдера и совместно с ним проверила ряд ключевых устройств, обеспечивающих маршрутизацию трафика в его сети. Когда провайдер перезагрузил и отключил различные компоненты сети, отравление DNS немедленно прекратилось».
