安全研究人员揭露了一起复杂的供应链攻击活动,该活动源自一家未具名互联网服务提供商(ISP)的遭入侵事件。
Volexity公司指出,StormBamboo组织(又称为Evasive Panda、Daggerfly、StormCloud)利用其在该ISP中的立足点,对选定的客户发起了DNS毒化攻击。
Volexity确定,StormBamboo组织篡改了特定域的DNS查询响应,这些域与自动软件更新机制相关。StormBamboo似乎针对的是那些使用不安全更新机制的软件,例如HTTP,这些软件没有正确验证安装程序的数字签名,”它解释道。
“因此,当这些应用程序去获取它们的更新时,它们安装的不是预期的更新,而是包括但不限于MACMA和POCOSTICK(又称为MGBot)在内的恶意软件。”
MACMA是针对macOS的后门恶意软件,而MGBot则作用于Windows系统。
该组织以这种方式针对了多个使用不安全更新流程的供应商,其中包括媒体播放软件5KPlayer。它会将应用程序发出的合法HTTP更新请求重定向至其控制下的命令与控制服务器,该服务器托管着伪造的文本文件和恶意安装程序,Volexity解释道。
有一次,研究人员观察到StormBamboo在一个已被入侵的受害者的机器上部署了一个恶意Chrome扩展。该扩展程序旨在将浏览器cookies数据泄露至由该组织控制的Google云端硬盘账户。
幸运的是,Volexity通知了涉事的ISP,后者对其网络中提供流量路由服务的设备进行了调查。
Volexity表示:“随着ISP重启并将其网络的各个组件下线,DNS毒化立即停止了。”“在此期间,无法确定具体哪台设备被入侵,但基础设施的各部分被更新或保持离线状态,相关活动也就停止了。”
发表评论
您还未登录,请先登录。
登录