China-verbundene Hacker kompromittieren ISP, um bösartige Software-Updates bereitzustellen
Die Bedrohungsakteure, die mit China verbunden sind und als Evasive Panda bekannt sind, haben einen nicht näher benannten Internetdienstanbieter (ISP) kompromittiert, um in der Mitte des Jahres 2023 bösartige Software-Updates an gezielte Unternehmen zu senden. Dies verdeutlicht ein neues Maß an Raffinesse, das mit der Gruppe in Verbindung gebracht wird.
Evasive Panda, auch bekannt unter den Namen Bronze Highland, Daggerfly und StormBamboo, ist eine Cyber-Spionagegruppe, die mindestens seit 2012 aktiv ist und Backdoors wie MgBot (auch bekannt als POCOSTICK) und Nightdoor (auch bekannt als NetMM und Suzafk) einsetzt, um sensible Informationen zu sammeln.
In jüngster Zeit wurde der Bedrohungsakteur formell mit der Verwendung eines macOS-Malware-Strangs namens MACMA in Verbindung gebracht, der bereits seit 2021 in freier Wildbahn beobachtet wurde.
“StormBamboo ist ein äußerst fähiger und aggressiver Bedrohungsakteur, der Dritte (in diesem Fall einen ISP) kompromittiert, um beabsichtigte Ziele zu infiltrieren”, sagte Volexity in einem letzten Woche veröffentlichten Bericht.
“Die Vielfalt der Malware, die in verschiedenen Kampagnen von diesem Bedrohungsakteur eingesetzt wird, deutet darauf hin, dass er erhebliche Anstrengungen unternimmt, mit aktiv unterstützten Payloads nicht nur für macOS und Windows, sondern auch für Netzwerkgeräte.”
Berichte von ESET und Symantec in den letzten zwei Jahren haben die Verwendung von MgBot durch Evasive Panda und deren Erfolgsbilanz bei der Orchestrierung von Angriffen auf Wasserlöcher und Lieferketten dokumentiert, die auf tibetische Benutzer abzielen.
Es wurde auch festgestellt, dass die Gruppe eine internationale Nichtregierungsorganisation (NGO) in Festlandchina mit MgBot angriff, der über Update-Kanäle legitimer Anwendungen wie Tencent QQ bereitgestellt wurde.
Es wurde spekuliert, dass die trojanisierten Updates entweder das Ergebnis eines Lieferkettenkompromisses der Update-Server von Tencent QQ oder eines Angriffs eines Gegners in der Mitte (AitM) waren. Die Analyse von Volexity bestätigt jedoch, dass es sich um Letzteres handelt, das aus einem DNS-Vergiftungsangriff auf ISP-Ebene resultiert.
Konkret soll der Bedrohungsakteur DNS-Anfragen für spezifische Domains, die mit automatischen Software-Update-Mechanismen verbunden sind, manipulieren und Software angreifen, die unsichere Update-Mechanismen wie HTTP verwendet oder keine angemessenen Integritätsprüfungen der Installationsprogramme durchführt.
“Es wurde entdeckt, dass StormBamboo DNS-Anfragen manipuliert, um Malware über einen HTTP-automatischen Update-Mechanismus bereitzustellen und Antworten für legitime Hostnamen vergiftet, die als C2-Server der zweiten Stufe verwendet wurden”, sagten die Forscher Ankur Saini, Paul Rascagneres, Steven Adair und Thomas Lancaster.
Die Angriffsketten sind recht einfach, da die unsicheren Update-Mechanismen missbraucht werden, um je nach verwendetem Betriebssystem entweder MgBot oder MACMA zu liefern. Volexity gab bekannt, dass der betroffene ISP über den DNS-Vergiftungsangriff informiert wurde.
In einem Fall wurde auch eine Google Chrome-Erweiterung auf dem macOS-Gerät des Opfers bereitgestellt, indem die Secure Preferences-Datei geändert wurde. Die Browser-Erweiterung gibt vor, ein Tool zu sein, das eine Seite im Kompatibilitätsmodus mit dem Internet Explorer lädt, hat jedoch zum Hauptziel, Browser-Cookies in ein vom Gegner kontrolliertes Google Drive-Konto zu exfiltrieren.
“Der Angreifer kann DNS-Anfragen abfangen und mit bösartigen IP-Adressen vergiften und dann diese Technik verwenden, um automatische Update-Mechanismen zu missbrauchen, die HTTP anstelle von HTTPS verwenden”, sagten die Forscher.
Quelle: https://ift.tt/g3HJk9X