1846 подписчиков
Группировка StormBamboo использовала уязвимость интернет-провайдера для проведения целевых атак по отравлению DNS компаний.
StormBamboo был нацелен на ПО, которое использовало небезопасные механизмы обновления, такие как HTTP, и не проверяло должным образом цифровые подписи установщиков.
Поэтому вместо установки запланированного обновления, приложения получали вредоносное ПО, например: MACMA и POCOSTICK (он же MGBot)».
MACMA — это бэкдор для macOS, тогда как MGBot работает в системах Windows.
Группа нацелилась на нескольких поставщиков, которые используют небезопасные рабочие процессы обновления, запуская медиаплеер 5KPlayer. Он перенаправлял законный запрос из приложения на сервер управления, на котором размещался вредоносный установщик.
Исследователи наблюдали, как StormBamboo разворачивал вредоносное расширение Chrome на скомпрометированном компьютере жертвы. Оно было разработано для эксфильтрации файлов cookie браузера в учетную запись Google Drive, находящуюся под контролем группы.
Около минуты
5 августа 2024