Kínai hackerek ISP szinten terjesztenek malwareket DNS poisoning-gel

A kínai StormBamboo APT hacker csoport (Evasive Panda, StormCloud) Windows és MacOS kártevőket terjesztett az ISP-k feltörésével és DNS poisoning-gel.

A Volexity – kiberbiztonsággal foglalkozó cég – 2023 közepén kezdte vizsgálni ezeket a támadásokat. A támadók egy internetszolgáltató rendszerét kompromittálták és DNS poisoning-gel Windows és macOS malware-eket juttattak célba a nem biztonságos automatikus szoftverfrissítési mechanizmusokon keresztül. A Volexity nem osztott meg információt, hogy mely szervezeteket vették célba, de a hacker csoport nevéhez fűződik egy korábbi ázsiai szervezeteket célzó kiberkémkedési művelet is.

A Volexity megállapította, hogy a StormBamboo módosította az automatikus szoftverfrissítési mechanizmusokhoz kapcsolódó bizonyos tartományok DNS lekérdezését és válaszát. A hacker csoport olyan szoftvereket vett célba, amelyek nem biztonságos frissítési mechanizmusokat, például HTTP-t használtak, és nem ellenőrizték megfelelően az installáció során a digitális aláírásokat. Ezért, amikor ezek az alkalmazások lekérték a frissítéseket, ahelyett, hogy telepítették volna a kívánt frissítést, malwaret telepítettek.

Ahogy az ISP újraindította és offline állapotba helyezte a hálózat különböző komponenseit, azonnal leállt a DNS poisoning. Ezalatt az idő alatt nem lehetett pontosan meghatározni azt, hogy milyen eszközök kompromittálódtak. A vállalat azt látta, hogy a StormBamboo olyan malwareket terjeszt, mint a macOS alapú MacMa (CDDS), vagy a Reloadext nevű rosszindulatú Chrome bővítmény, amely lehetővé teszi az e-mail adatok kiszivárgását.

A témával kapcsolatban bővebben az alábbi blogban olvashatunk.

(securityweek.com)