Хакерская группировка StormBamboo, также известная как Evasive Panda, расположенная в Китае, взломала систему интернет-провайдера и заразила компьютеры его абонентов вредоносным программным обеспечением. Это открытие было сделано экспертами по кибербезопасности из компании Volexity в ходе расследования взлома ресурсов одной организации.
Группировка Evasive Panda, также известная как StormBamboo, Bronze Highland, Daggerfly или StormCloud, существует как минимум с 2012 года. Она осуществляет атаки на организации в материковом Китае, Гонконге, Макао, Нигерии, а также в различных странах Юго-Восточной и Восточной Азии.
Исследователи компании Volexity обнаружили аномалии в работе одного из провайдеров, что помогло им определить источник распространения вредоносного программного обеспечения.
После того как хакеры проникли в системы провайдера, они использовали технику «отправления DNS», чтобы перенаправлять трафик на зараженные сайты. В результате на компьютерах пользователей были обнаружены вредоносные программы. Эксперты утверждают, что за этой кибератакой стоит китайская группировка хакеров StormBamboо, также известная как Evasive Panda. Злоумышленники взломали систему DNS провайдера и изменили адреса ресурсов, к которым обращаются пользовательские приложения для обновления программного обеспечения. Это затронуло, в частности, популярный бесплатный медиаплеер 5KPlayer. В результате при попытке обновить приложение пользователи получали заражённые файлы.
По мнению экспертов, StormBamboо использовала эту схему атаки на несколько программ, которые применяют небезопасные механизмы обновления.
Volexity не раскрыла название интернет-провайдера или количество затронутых компьютеров, но отметила, что имели место «множественные инциденты», произошедшие в середине 2023 года. Пострадавшие устройства работали на операционных системах Windows и macOS. Среди вредоносных программ, использованных в атаке, были MACMA и MGBot. Эти программы позволяют злоумышленникам удалённо делать снимки экрана, перехватывать нажатия клавиш, а также красть файлы и пароли. Предположительно, для атаки на ресурсы провайдера использовался зловред CATCHDNS, предназначенный для работы в среде Linux.
Специалисты Mask Safe, чтобы ваша компания не стала жертвой хакерской атаки, рекомендуют строить свою киберзащиту следующим образом:
- Внедрить защиту нового поколения – межсетевые экраны нового поколения NGFW
Защитить свою организацию можно и нужно уже сейчас, потому что тренд на увеличение количества атак на компании очевиден. Многодневные простои и многомиллиардные потери - вот цена недобросовестного отношения к построению системы информационной безопасности.
Если у вас возникли дополнительные вопросы или вы хотели бы узнать больше о наших услугах и продуктах, не стесняйтесь обращаться к нам. Мы всегда готовы помочь вам с выбором оптимальных решений для вашего бизнеса.
Будьте в курсе последних тенденций в области кибербезопасности и IT-технологий, следите за обновлениями на нашем сайте и подписывайтесь на наши новостные рассылки.
Больше полезной информации вы найдете на нашем сайте.