Μια κινεζική ομάδα hacking γνωστή με το όνομα StormBamboo, έχει παραβιάσει έναν άγνωστο πάροχο υπηρεσιών Διαδικτύου (ISP) για να “δηλητηριάσει” τις αυτόματες ενημερώσεις λογισμικού με malware.
Δείτε επίσης: Το TryCloudflare καταχράται για διάδοση remote access malware
Επίσης γνωστή ως Evasive Panda, Daggerfly και StormCloud, αυτή η ομάδα κυβερνοκατασκοπείας δραστηριοποιείται τουλάχιστον από το 2012, στοχεύοντας οργανισμούς σε όλη την ηπειρωτική Κίνα, το Χονγκ Κονγκ, το Μακάο, τη Νιγηρία και διάφορες χώρες της Νοτιοανατολικής και Ανατολικής Ασίας.
Την Παρασκευή, οι ερευνητές απειλών του Volexity αποκάλυψαν ότι η κινεζική συμμορία κυβερνοκατασκοπείας είχε εκμεταλλευτεί μη ασφαλείς μηχανισμούς ενημέρωσης λογισμικού HTTP που δεν επικύρωσαν τις ψηφιακές υπογραφές, για να αναπτύξει ωφέλιμο φορτίο malware στις συσκευές Windows και macOS των θυμάτων.
«Όταν αυτές οι εφαρμογές πήγαιναν να ανακτήσουν τις ενημερώσεις τους, αντί να εγκαταστήσουν την προβλεπόμενη ενημέρωση, θα εγκαθιστούσαν κακόβουλο λογισμικό, συμπεριλαμβανομένων, ενδεικτικά, του MACMA και του POCOSTICK (γνωστό και ως MGBot)», εξήγησε η εταιρεία κυβερνοασφάλειας Volexity σε έκθεση που δημοσιεύθηκε την Παρασκευή.
Για να γίνει αυτό, οι επιτιθέμενοι έκλεψαν και τροποποίησαν τα αιτήματα DNS των θυμάτων και τα δηλητηρίασαν με κακόβουλες διευθύνσεις IP. Αυτό παρέδωσε το malware στα συστήματα των στόχων από τους διακομιστές εντολών και ελέγχου της StormBamboo χωρίς να απαιτείται αλληλεπίδραση με τον χρήστη.
Δείτε ακόμα: Το νέο Flame Stealer malware κλέβει δεδομένα πιστωτικών καρτών
Για παράδειγμα, εκμεταλλεύτηκαν τα αιτήματα του 5KPlayer για να ενημερώσουν την εξάρτηση από το youtube-dl για να προωθήσουν ένα πρόγραμμα εγκατάστασης με backdoor που φιλοξενείται στους διακομιστές C2 τους.
Μετά από παραβίαση των συστημάτων του στόχου, οι κακόβουλοι παράγοντες εγκατέστησαν μια κακόβουλη επέκταση Google Chrome (ReloadText), η οποία τους επέτρεψε να συλλέγουν και να κλέβουν cookie και δεδομένα αλληλογραφίας του προγράμματος περιήγησης.
Τον Απρίλιο του 2023, οι ερευνητές απειλών της ESET παρατήρησαν επίσης την ομάδα hacking να αναπτύσσει το backdoor των Windows Pocostick (MGBot) κάνοντας κατάχρηση του μηχανισμού αυτόματης ενημέρωσης για την εφαρμογή μηνυμάτων Tencent QQ σε επιθέσεις που στοχεύουν διεθνείς ΜΚΟ (μη κυβερνητικές οργανώσεις).
Σχεδόν ένα χρόνο αργότερα, τον Ιούλιο του 2024, η ομάδα ασφαλείας της Symantec εντόπισε τους Κινέζους hacker να στοχεύουν μια αμερικανική ΜΚΟ στην Κίνα και πολλούς οργανισμούς στην Ταϊβάν με νέες εκδόσεις του Macma macOS backdoor και Nightdoor Windows.
Και στις δύο περιπτώσεις, αν και η ικανότητα των επιτιθέμενων ήταν εμφανής, οι ερευνητές πίστευαν ότι επρόκειτο είτε για επίθεση αλυσίδας εφοδιασμού είτε για επίθεση adversary-in-the-middle (AITM), αλλά δεν ήταν σε θέση να εντοπίσουν την ακριβή μέθοδο επίθεσης.
Δείτε επίσης: Ψεύτικα sites Google Authenticator εγκαθιστούν το DeerStealer malware
Οι επιθέσεις malware, όπως αυτή της ομάδας StormBamboo, είναι κακόβουλες προσπάθειες διακοπής, βλάβης ή απόκτησης μη εξουσιοδοτημένης πρόσβασης σε συστήματα και δίκτυα υπολογιστών. Αυτές οι επιθέσεις μπορούν να λάβουν διάφορες μορφές, όπως ιούς, worms, trojans, ransomware και spyware. Κάθε τύπος κακόβουλου λογισμικού χρησιμοποιεί διαφορετικές τακτικές για την επίτευξη των στόχων του, οδηγώντας συχνά σε σημαντικές παραβιάσεις δεδομένων, οικονομικές απώλειες και βλάβη στη φήμη. Καθώς η τεχνολογία εξελίσσεται, το ίδιο κάνουν και οι μέθοδοι που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου, καθιστώντας ζωτικής σημασίας για τα άτομα και τους οργανισμούς να εφαρμόζουν ισχυρά μέτρα ασφαλείας, να εκπαιδεύουν τους χρήστες σχετικά με πιθανές απειλές και να παραμένουν σε επαγρύπνηση έναντι των αναδυόμενων τρωτών σημείων.
Πηγή: bleepingcomputer
