Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,7 тыс подписчиков

Китайских хакеров обвинили во взломе интернет-провайдеров для отправки обновлений ПО с вредоносным софтом

1 мин
Китайскую хакерскую группировку StormBamboo обвинили в проведении атаки и успешной компрометации внутренней IT-инфраструктуры одного из крупных западных интернет-провайдеров. По словам экспертов по информационной безопасности из компании Volexity, основной целью этого инцидента для хакеров была отправка автоматических обновлений программного обеспечения с вредоносным софтом. Как отмечают эксперты, хакерская группировка StormBamboo, также известная под названиями Evasive Panda, Daggerfly и StormCloud, действует по крайней мере с 2012 года, атакуя организации по всему материковому Китаю, Гонконгу, Макао, Нигерии, а также в различных странах Юго-Восточной и Восточной Азии. В компании Volexity сообщили, что китайская банда использовала небезопасные механизмы обновления программного обеспечения HTTP, которые не проверяли цифровые подписи, для развертывания вредоносных программ на устройствах жертв Windows и macOS. «Когда эти приложения пытались получить свои обновления, вместо установки зап
источник: dall-e
источник: dall-e

Китайскую хакерскую группировку StormBamboo обвинили в проведении атаки и успешной компрометации внутренней IT-инфраструктуры одного из крупных западных интернет-провайдеров. По словам экспертов по информационной безопасности из компании Volexity, основной целью этого инцидента для хакеров была отправка автоматических обновлений программного обеспечения с вредоносным софтом.

Как отмечают эксперты, хакерская группировка StormBamboo, также известная под названиями Evasive Panda, Daggerfly и StormCloud, действует по крайней мере с 2012 года, атакуя организации по всему материковому Китаю, Гонконгу, Макао, Нигерии, а также в различных странах Юго-Восточной и Восточной Азии.

В компании Volexity сообщили, что китайская банда использовала небезопасные механизмы обновления программного обеспечения HTTP, которые не проверяли цифровые подписи, для развертывания вредоносных программ на устройствах жертв Windows и macOS.

«Когда эти приложения пытались получить свои обновления, вместо установки запланированного обновления они устанавливали вредоносное ПО, включая, помимо прочего, MACMA и POCOSTICK (он же MGBot)», — пояснили в Volexity в отчёте.

Для этого злоумышленники перехватывали и изменяли DNS-запросы жертв и направляли их на вредоносные IP-адреса. Это доставляло вредоносное ПО в системы целей с командно-контрольных серверов StormBamboo, не требуя взаимодействия с пользователем.

Например, они воспользовались запросами 5KPlayer на обновление зависимости youtube-dl, чтобы внедрить защищённый установщик, размещённый на их серверах C2. После взлома систем цели злоумышленники установили вредоносное расширение для Google Chrome (ReloadText), которое позволяло им собирать и красть файлы cookie браузера и данные почты.

«Было обнаружено, что StormBamboo атакует нескольких поставщиков программного обеспечения, которые используют небезопасные процессы обновления, применяя различные уровни сложности на этапах распространения вредоносного ПО», — сообщили исследователи.

Оригинал публикации на сайте CISOCLUB: "Китайских хакеров обвинили во взломе интернет-провайдеров для отправки обновлений ПО с вредоносным софтом".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Кибербезопасность
25,6 тыс интересуются