Powiązany z Chinami aktor zagrożeń znany jako Evasive Panda w połowie 2023 r. naruszył bezpieczeństwo anonimowego dostawcy usług internetowych (ISP), aby przesyłać złośliwe aktualizacje oprogramowania.
Evasive Panda, znana również pod nazwami Bronze Highland, Daggerfly i StormBamboo, to grupa cyberszpiegowska działająca od co najmniej 2012 r., wykorzystująca backdoory, takie jak MgBot i Nightdoor, aby zbierać poufne informacje. Niedawno grupie tej formalnie przypisano użycie szczepu złośliwego systemu macOS o nazwie MACMA, który był obserwowany w środowisku naturalnym już od 2021 r.
„StormBamboo to wysoce wykwalifikowany i agresywny podmiot, który atakuje systemy bezpieczeństwa osób trzecich (w tym przypadku dostawcy usług internetowych), aby dalej naruszyć ostateczne cele” – stwierdziło Volexity w raporcie opublikowanym w zeszłym tygodniu.
Różnorodność złośliwego systemu wykorzystywanego w wielu kampaniach przez ten podmiot pokazuje, jak dużo zaangażowania i wiedzy wkładają chińscy hakerzy w ataki na systemy Windows, macOS i urządzenia sieciowe.
Odkryto również, iż grupa zaatakowała międzynarodową organizację pozarządową (NGO) w Chinach kontynentalnych, a MgBot został dostarczony za pośrednictwem kanałów aktualizacji legalnych aplikacji, takich jak Tencent QQ. Podczas gdy spekulowano, iż trojanizowane aktualizacje były wynikiem naruszenia łańcucha dostaw serwerów aktualizacji Tencent QQ lub ataku typu adversary-in-the-middle (AitM), analiza Volexity potwierdza, iż to drugie wynika z ataku DNS Poisonning na poziomie dostawcy usług internetowych.
Według analizy atakujący modyfikują odpowiedzi na zapytania DNS dla określonych domen powiązanych z automatycznymi mechanizmami aktualizacji oprogramowania, atakując oprogramowanie, które używało niezabezpieczonych mechanizmów aktualizacji, jak HTTP GET, lub nie wymuszało odpowiednich kontroli integralności instalatorów. Widzimy to na powyższych schemacie.
Łańcuchy ataków są dość proste, ponieważ niebezpieczne mechanizmy aktualizacji są nadużywane do dostarczania MgBot lub MACMA w zależności od używanego systemu operacyjnego. Volexity poinformowało o powiadomieniu odpowiedniego dostawcy usług internetowych o konieczności naprawienia ataku zatruwania DNS.
Jednym z przypadków było również wdrożenie rozszerzenia Google Chrome na urządzeniu ofiary z systemem macOS poprzez modyfikację pliku Secure Preferences. Dodatek do przeglądarki rzekomo jest narzędziem, które ładuje stronę w trybie zgodności z Internet Explorerem, ale jego głównym celem jest wykradanie plików cookie i przesyłanie ich na konto Google Drive kontrolowane przez przeciwnika.