Эксперты Volexity опубликовали материал, в котором рассказали об обнаружении в 2023 году нескольких инцидентов. Все они были связаны с заражением вирусом группировкой StormBamboo (также известной как Evasive Panda).
Но самое интересное то, как именно произошло заражение.
Как произошел взлом
Изначально установить источник заражения было сложно, но позднее выяснилось, что причиной стала атака на уровне провайдера интернет-услуг (ISP), известная как «отравление DNS».
В ходе атаки, StormBamboo изменяли ответы DNS-запросов для определённых доменов, связанных с механизмами автоматического обновления программного обеспечения. В результате пользователи вместо легитимных обновлений получали вредонос.
Вредоносные программы и механизмы атаки
StormBamboo использовали уязвимые механизмы обновления программ, такие как HTTP, которые не проверяют цифровые подписи установочных файлов.
Заражённый софт загружал и устанавливал вредоносные обновления, включающие в себя такие программы, как MACMA и POCOSTICK (также известная как MGBot).
Реализация атаки
В одном из инцидентов было установлено, что StormBamboo отравляли DNS-запросы, перенаправляя их на сервер в Гонконге с IP-адресом 103.96.130[.]107.
Первоначально в Volexity предполагали, что проблема могла быть в самом корпоративном фаерволе, но дальнейшее расследование показало, что атака проводилась на уровне провайдера интернет-услуг.
После уведомления ISP и совместной работы по устранению уязвимостей, взломы прекратились.
Отметим, что атака StormBamboo на интернет-провайдера и последующее заражение пользователей через отравление DNS-запросов показывает, насколько сложными и продуманными могут быть действия хакеров.
#взлом