サイバーセキュリティ企業Volexityの研究者らは金曜日、中国のハッカー集団「StormBamboo」がsインターネット サービス プロバイダー (ISP) を侵害し、マルウェアによる自動ソフトウェア アップデートを悪用することに成功しました。
この中国のサイバースパイ脅威グループは、Evasive Panda、Daggerfly、StormCloud としても追跡されており、少なくとも 2012 年から活動を続けており、中国本土、香港、マカオ、ナイジェリア、東南アジアおよび東アジアのいくつかの国々の組織を標的としています (経由)ピーピーコンピュータ)。
Volexity が調査したあるインシデントの中で、脅威研究者らは、StormBamboo が HTTP などの安全でない更新メカニズムを使用するソフトウェアをターゲットにしており、macOS と Windows を実行している被害者のマシンにマルウェア ペイロードを展開するためのインストーラーのデジタル署名を適切に検証していなかったことを発見しました。
「これらのアプリケーションがアップデートを取得しようとすると、目的のアップデートをインストールする代わりに、MACMA や POCOSTICK (別名 MGBot) を含む (ただしこれらに限定されない) マルウェアがインストールされてしまいます。」説明した金曜日に発表された報告書で述べた。
これを行うために、攻撃者は被害者の DNS リクエストを中断して変更し、悪意のある IP アドレスにリダイレクトしました。
この手法では、StormBamboo のコマンドアンドコントロール (C2) サーバーから被害者のシステムにマルウェアが配信されるため、ユーザーの操作は必要ありません。
Volexity は、StormBamboo が自動更新メカニズムを使用し、マルウェアをプッシュする手順にさまざまなレベルの複雑さを使用している複数のソフトウェア ベンダーをターゲットにしていることを発見しました。
「たとえば、彼らは 5KPlayer リクエストを利用して youtube-dl の依存関係を更新し、C2 サーバー上でホストされているバックドア インストーラーをプッシュしました。」ピーピーコンピュータ報告書に記載されています。
「攻撃者はターゲットのシステムを侵害した後、悪意のある Google Chrome 拡張機能 (ReloadText) をインストールし、ブラウザの Cookie やメール データを収集して盗むことが可能になりました。」
脅威研究者は ISP に通知して協力し、ISP はネットワーク上の重要なトラフィック ルーティング デバイスを調査しました。 ISP が再起動すると、特定のネットワーク コンポーネントがオフラインになり、DNS ポイズニングは直ちに停止されました。
「StormBamboo は、サードパーティ (この場合は ISP) を侵害して意図したターゲットに侵入する、高度なスキルを持つ攻撃的な攻撃者です。
この脅威アクターがさまざまなキャンペーンで使用したさまざまなマルウェアは、macOS と Windows だけでなくネットワーク アプライアンスのペイロードも積極的にサポートされており、多大な努力が投資されていることを示しています」と研究者らは結論づけています。
