В середине 2023 года исследователи из компании Volexity обнаружили несколько инцидентов, в которых StormBamboo, также известный как Evasive Panda, использовал отравление DNS для взлома систем на уровне интернет-провайдеров.
Эта атака позволяла StormBamboo манипулировать ответами DNS и использовать небезопасные механизмы обновления программного обеспечения для скрытной установки вредоносного ПО на системы macOS и Windows. Среди основных вредоносных программ были новые варианты вредоносного ПО MACMA, демонстрирующие сходство с семейством вредоносных программ GIMMICK. Злоумышленники также использовали вредоносное расширение для браузера RELOADEXT для утечки данных электронной почты с компьютеров жертв. Анализ показал, что вектором заражения было отравление DNS на уровне провайдера, перенаправляющее запросы на обновление программного обеспечения на контролируемые злоумышленниками серверы. Этот метод атаки использовал уязвимости в механизмах обновления, которые не проверяли должным образом цифровые подписи, как и предыдущие атаки, приписываемые DriftingBamboo. Компания Volexity подтвердила этот метод в реальном сценарии, подчеркнув сложный и упорный характер операций StormBamboo.
Indicators of Compromise
IPv4
- 103.96.130.107
- 122.10.89.110
- 152.32.159.8
