3520 подписчиков
#news Китайские госхакеры продолжают демонстрировать смекалочку в деле доставки малвари. На этот раз группировка StormBamboo скомпрометировала неназванного интернет-провайдера и отравила DNS-запросы автообновлений софта.
Группировка использовала плохо защищённые механизмы обновлений, не проверяющие цифровые подписи, и HTTP-запросы перенаправлялись на C2-сервер злоумышленников, с которого подтягивался вредонос. Инструментом для атаки стали несколько производителей софта. Так, в случае с 5KPlayer на С2 лежал модифицированный Youtube.config, сообщивший о доступном обновлении youtube-dl, которое шло с бэкдором. Отравление DNS от китайских умельцев не первый раз светится в сетевых дебрях, но механизм интересный. Подробнее об атаке в отчёте.
Около минуты
5 августа 2024