O grupo de ameaças vinculado à China, conhecido como Evasive Panda, comprometeu um provedor de serviços de internet (ISP) não identificado para distribuir atualizações de software maliciosas a empresas-alvo em meados de 2023, ressaltando um novo nível de sofisticação associado ao grupo.
Evasive Panda, também conhecido pelos nomes Bronze Highland, Daggerfly e StormBamboo, é um grupo de espionagem cibernética que está ativo desde pelo menos 2012, utilizando backdoors como MgBot (também conhecido como POCOSTICK) e Nightdoor (também conhecido como NetMM e Suzafk) para coletar informações sensíveis.
Mais recentemente, o grupo de ameaça foi formalmente atribuído ao uso de uma cepa de malware para macOS chamada MACMA, que foi observada em atividade desde 2021.
"StormBamboo é um ator de ameaça altamente qualificado e agressivo que compromete terceiros (neste caso, um ISP) para violar os alvos pretendidos", disse a Volexity em um relatório publicado na semana passada.
A variedade de malware empregado em várias campanhas por esse ator de ameaça indica um esforço significativo investido, com payloads ativamente suportados não apenas para macOS e Windows, mas também para dispositivos de rede.
Relatórios públicos da ESET e da Symantec nos últimos dois anos documentaram o uso de MgBot pelo Evasive Panda e seu histórico de organizar ataques de watering hole e ataques à cadeia de suprimentos visando usuários tibetanos.
Também foi descoberto que o grupo visou uma organização não governamental internacional (ONG) na China Continental com MgBot entregue por canais de atualização de aplicações legitimas como o Tencent QQ.
Embora tenha sido especulado que as atualizações trojanizadas foram o resultado de um comprometimento da cadeia de suprimentos dos servidores de atualização do Tencent QQ ou um caso de attack de adversary-in-the-middle (AitM), a análise da Volexity confirma que foi o último decorrente de um ataque de envenenamento de DNS no nível do ISP.
Especificamente, diz-se que o ator de ameaça altera as respostas de consultas DNS para domínios específicos relacionados a mecanismos automáticos de atualização de software, visando softwares que usaram mecanismos de atualização inseguros, como HTTP, ou não impuseram verificações de integridade adequadas dos instaladores.
"Foi descoberto que StormBamboo envenenou solicitações de DNS para implantar malware via um mecanismo de atualização automática HTTP e envenenou respostas para hostnames legítimos que foram usados como servidores de comando e controle (C2) de segundo estágio", disseram os pesquisadores Ankur Saini, Paul Rascagneres, Steven Adair, e Thomas Lancaster.
As cadeias de ataque são bastante diretas, na medida em que os mecanismos de atualização inseguros são abusados para entregar MgBot ou MACMA, dependendo do sistema operacional usado.
A Volexity disse que notificou o ISP em questão para remediar o ataque de envenenamento de DNS.
Um caso também envolveu a implantação de uma extensão do Google Chrome no dispositivo macOS da vítima, modificando o arquivo Secure Preferences.
O complemento do navegador pretende ser uma ferramenta que carrega uma página no modo de compatibilidade com o Internet Explorer, mas seu principal objetivo é exfiltrar cookies do navegador para uma conta do Google Drive controlada pelo adversário.
"O atacante pode interceptar solicitações de DNS e envenená-las com endereços IP maliciosos, e então usar essa técnica para abusar de mecanismos de atualização automática que usam HTTP em vez de HTTPS", disseram os pesquisadores.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...