Специалисты по кибербезопасности из компании Volexity обнаружили новую масштабную атаку, проведенную китайской хакерской группировкой Evasive Panda. Злоумышленники использовали уязвимости в процессах обновления программного обеспечения для распространения вредоносного кода на устройства под управлением Windows и macOS.
Механизм атаки: эксплуатация небезопасных обновлений
Хакеры скомпрометировали неназванного интернет-провайдера, что позволило им внедрить вредоносное ПО в автоматические обновления различных приложений. Ключевым фактором успеха атаки стало использование небезопасного протокола HTTP и отсутствие проверки цифровых подписей при обновлении.
Группировка Evasive Panda, также известная как StormBamboo, Bronze Highland и Daggerfly, активно действует с 2012 года. Ее целями становятся организации в материковом Китае, Гонконге, Макао, Нигерии и странах Юго-Восточной и Восточной Азии.
Техника DNS poisoning и распространение малвари
После компрометации провайдера хакеры применили технику DNS poisoning. Эта атака позволила им перехватывать и модифицировать DNS-запросы жертв, подменяя легитимные IP-адреса на вредоносные. В результате, вместо установки обычных обновлений, на устройства пользователей загружалось вредоносное ПО, включая MACMA и POCOSTICK (также известный как MGBot).
Пример атаки: компрометация 5KPlayer
Один из наглядных примеров атаки — использование запросов приложения 5KPlayer на обновление компонента youtube-dl. Злоумышленники перенаправляли эти запросы на свои серверы, откуда загружался инсталлятор с встроенным бэкдором.
Последствия атаки и дополнительные вредоносные компоненты
После успешного внедрения, хакеры устанавливали на зараженные системы вредоносное расширение для Google Chrome под названием ReloadText. Этот компонент позволял собирать и похищать файлы cookie и почтовые данные пользователей, что потенциально открывало доступ к конфиденциальной информации и учетным записям.
Масштаб атаки и реакция специалистов
По данным Volexity, атака была направлена на несколько поставщиков программного обеспечения, использующих небезопасные процессы обновления. Эксперты оперативно уведомили пострадавшего провайдера и совместно провели проверку ключевых сетевых устройств. После перезагрузки и отключения определенных компонентов сети атака типа DNS poisoning была остановлена.
Данный инцидент подчеркивает критическую важность безопасных механизмов обновления ПО. Разработчикам и провайдерам настоятельно рекомендуется использовать защищенные протоколы передачи данных, такие как HTTPS, а также внедрять надежные системы проверки цифровых подписей для всех обновлений. Пользователям же следует быть бдительными и использовать современные средства защиты, способные обнаруживать и блокировать подобные атаки.
