Eine chinesische Hackergruppe, die sich StormBamboo nennt, hat einen ungenannten Internetdienstanbieter (ISP) kompromittiert, um automatische Software-Updates mit Malware zu vergiften.
Die auch als Evasive Panda, Daggerfly und StormCloud bekannte Cyberspionagegruppe ist seit mindestens 2012 aktiv und hat es auf Unternehmen in Festlandchina, Hongkong, Macao, Nigeria und verschiedenen südost- und ostasiatischen Ländern abgesehen.
Am Freitag deckten die Bedrohungsforscher von Volexity auf, dass die chinesische Cyberspionage-Bande unsichere HTTP-Software-Update-Mechanismen ausnutzte, die keine digitalen Signaturen validierten, um Malware-Nutzlasten auf den Windows- und macOS-Geräten der Opfer zu installieren.
"Wenn diese Anwendungen ihre Updates abrufen wollten, installierten sie statt des beabsichtigten Updates Malware, einschließlich, aber nicht beschränkt auf MACMA und POCOSTICK (alias MGBot)", erklärte das Cybersicherheitsunternehmen Volexity in einem am Freitag veröffentlichten Bericht.
Zu diesem Zweck fingen die Angreifer die DNS-Anfragen der Opfer ab, veränderten sie und versahen sie mit bösartigen IP-Adressen. Auf diese Weise wurde die Malware von den Command-and-Control-Servern von StormBamboo auf die Systeme der Opfer übertragen, ohne dass eine Benutzerinteraktion erforderlich war.
So nutzten sie beispielsweise die Anfragen von 5KPlayer, um die youtube-dl-Abhängigkeit zu aktualisieren und einen auf ihren C2-Servern gehosteten Backdoored-Installer zu veröffentlichen.
Nachdem sie die Systeme der Zielpersonen kompromittiert hatten, installierten die Bedrohungsakteure eine bösartige Google Chrome-Erweiterung (ReloadText), die es ihnen ermöglichte, Browser-Cookies und E-Mail-Daten zu sammeln und zu stehlen.
"Volexity beobachtete, dass StormBamboo auf mehrere Softwarehersteller abzielte, die unsichere Update-Workflows verwenden und ihre Schritte zur Verbreitung von Malware unterschiedlich komplex gestalten", so die Forscher weiter.
"Volexity benachrichtigte den ISP und arbeitete mit ihm zusammen, der verschiedene wichtige Geräte untersuchte, die in seinem Netzwerk Traffic-Routing-Dienste anbieten. Als der ISP einen Neustart durchführte und verschiedene Komponenten des Netzwerks offline nahm, hörte das DNS-Poisoning sofort auf.
Im April 2023 beobachteten ESET-Bedrohungsforscher außerdem, dass die Hackergruppe die Windows-Backdoor Pocostick (MGBot) einsetzte, indem sie den automatischen Update-Mechanismus für die Messaging-Anwendung Tencent QQ bei Angriffen auf internationale Nichtregierungsorganisationen (NGOs) missbrauchte.
Fast ein Jahr später, im Juli 2024, entdeckte das Bedrohungsjagdteam von Symantec chinesische Hacker, die eine amerikanische Nichtregierungsorganisation in China und mehrere Organisationen in Taiwan mit neuen Macma macOS-Backdoor- und Nightdoor Windows-Malware-Versionen angriffen.
Obwohl in beiden Fällen die Fähigkeiten der Angreifer offensichtlich waren, gingen die Forscher davon aus, dass es sich entweder um einen Angriff über die Lieferkette oder einen Adversary-in-the-Middle (AITM)-Angriff handelte, konnten aber die genaue Angriffsmethode nicht bestimmen.
