Um grupo de hackers chinês, conhecido como StormBamboo, comprometeu um provedor de serviços de internet (ISP) não divulgado, contaminando atualizações automáticas de software com malware.
Também identificado como Evasive Panda, Daggerfly e StormCloud, esse grupo de ciberespionagem está ativo desde pelo menos 2012, visando organizações na China Continental, Hong Kong, Macau, Nigéria e em diversos países do Sudeste e Leste Asiáticos.
Na sexta-feira(02), pesquisadores de ameaças da Volexity revelaram que o gangue de ciberespionagem chinês explorou mecanismos inseguros de atualização de software HTTP que não validavam assinaturas digitais para implantar payloads maliciosos de malware em dispositivos Windows e macOS das vítimas.
"Quando esses aplicativos tentavam recuperar suas atualizações, ao invés de instalar a atualização pretendida, eles instalariam malware, incluindo, mas não se limitando a, MACMA e POCOSTICK (também conhecido como MGBot)", explicou a empresa de cibersegurança Volexity em um relatório publicado na sexta-feira(02).
Para fazer isso, os atacantes interceptavam e modificavam as solicitações de DNS das vítimas, contaminando-as com endereços IP maliciosos.
Isso entregava o malware aos sistemas dos alvos a partir dos servidores de comando e controle (C2) do StormBamboo sem necessitar da interação do usuário.
Por exemplo, eles se aproveitaram das solicitações de atualização do 5KPlayer para a dependência do youtube-dl para empurrar um instalador com backdoor hospedado em seus servidores C2.
Após comprometer os sistemas do alvo, os atores de ameaça instalavam uma extensão maliciosa do Google Chrome (ReloadText), que lhes permitia coletar e roubar cookies do navegador e dados de e-mail.
"A Volexity observou o StormBamboo visando múltiplos fornecedores de software, que utilizam fluxos de trabalho inseguros de atualização, usando vários níveis de complexidade em suas etapas para empurrar malware," acrescentaram os pesquisadores.
A Volexity notificou e trabalhou com o ISP, que investigou vários dispositivos-chave fornecendo serviços de roteamento de tráfego em sua rede.
À medida que o ISP reiniciava e retirava vários componentes da rede do ar, o envenenamento de DNS parava imediatamente.
Em abril de 2023, pesquisadores de ameaças da ESET também observaram o grupo de hackers implantando o backdoor para Windows Pocostick (MGBot) abusando do mecanismo de atualização automática do aplicativo de mensagens Tencent QQ em ataques visando organizações não-governamentais (ONGs) internacionais.
Quase um ano depois, em julho de 2024, a equipe de caça a ameaças da Symantec avistou os hackers chineses visando uma ONG americana na China e várias organizações em Taiwan com novas versões do malware backdoor para macOS Macma e do malware para Windows Nightdoor.
Em ambos os casos, apesar da evidente habilidade dos atacantes, os pesquisadores acreditavam se tratar de um ataque à cadeia de suprimentos ou de um ataque de adversário-no-meio (AITM), mas não conseguiram determinar exatamente o método de ataque.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...