Cybersicherheitsexperten von Volexity haben eine ausgeklügelte Angriffskampagne der chinesischen Hackergruppe Evasive Panda aufgedeckt. Die Gruppe, die auch unter den Namen StormBamboo, Bronze Highland und Daggerfly bekannt ist, kompromittierte 2023 einen Internet Service Provider (ISP), um Malware über automatische Softwareupdates zu verbreiten. Diese Vorgehensweise unterstreicht die wachsende Bedrohung durch Supply-Chain-Angriffe und die Notwendigkeit sicherer Update-Mechanismen.
Ausnutzung unsicherer HTTP-Updates
Die Angreifer nutzten gezielt Schwachstellen in Softwareupdates aus, die über unverschlüsseltes HTTP durchgeführt wurden und keine digitalen Signaturen überprüften. Dies ermöglichte es ihnen, legitime Updates durch Malware zu ersetzen. Betroffen waren sowohl Windows- als auch macOS-Systeme, was die plattformübergreifende Natur der Bedrohung verdeutlicht.
DNS-Poisoning als Angriffsvektor
Nach der Kompromittierung des ISPs führten die Hacker eine DNS-Poisoning-Attacke durch. Dabei wurden die DNS-Anfragen der Opfer abgefangen und mit bösartigen IP-Adressen „vergiftet“. So konnte die Malware direkt von den Command-and-Control-Servern der Angreifer auf die Zielsysteme geladen werden, ohne dass eine Benutzerinteraktion erforderlich war.
Beispiel: Manipulation von 5KPlayer-Updates
Ein konkretes Beispiel für diese Taktik war die Ausnutzung von Update-Anfragen der Software 5KPlayer für youtube-dl. Statt des legitimen Updates wurde ein mit einem Backdoor infizierter Installer von einem kontrollierten Server heruntergeladen.
Weitreichende Auswirkungen und zusätzliche Payloads
Nach der erfolgreichen Infektion installierten die Angreifer weitere Malware, darunter eine bösartige Google Chrome-Erweiterung namens ReloadText. Diese ermöglichte das Sammeln und Stehlen von Cookies sowie E-Mail-Daten, was auf umfangreiche Spionageaktivitäten hindeutet.
Gezielte Angriffe auf mehrere Softwareanbieter
Volexity stellte fest, dass Evasive Panda nicht nur einen einzelnen Anbieter ins Visier nahm. Die Gruppe zielte auf mehrere Softwareanbieter ab, die unsichere Update-Prozesse verwenden. Dies verdeutlicht die Notwendigkeit branchenweiter Verbesserungen bei der Sicherheit von Softwareupdates.
Die Entdeckung dieser Kampagne unterstreicht die Bedeutung sicherer Update-Mechanismen und die Notwendigkeit verstärkter Wachsamkeit in der gesamten Software-Lieferkette. Unternehmen und Softwareanbieter sollten ihre Update-Prozesse dringend überprüfen und auf verschlüsselte Verbindungen sowie digitale Signaturen setzen. Regelmäßige Sicherheitsaudits und die Implementierung von Intrusion Detection Systemen können dazu beitragen, solche ausgeklügelten Angriffe frühzeitig zu erkennen und zu verhindern. Die Cybersicherheitsgemeinschaft muss weiterhin wachsam bleiben und eng zusammenarbeiten, um die sich ständig weiterentwickelnden Bedrohungen durch hochentwickelte Angreifergruppen wie Evasive Panda zu bekämpfen.
