歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
駭客入侵 ISP 在軟體更新套件中植入惡意程式
2024 / 08 / 05
編輯部
一個被追蹤為 StormBamboo 的中國駭客組織已經入侵了一家未指明的網際網路服務提供商(ISP),利用自動軟體更新機制植入惡意程式。
這個網路間諜組織也被稱為 Evasive Panda、Daggerfly 和 StormCloud,至少從 2012 年開始活躍,目標包括中國大陸、香港、澳門、奈及利亞以及東南亞和東亞各國的組織。
Volexity 公司威脅研究人員揭露,這個中國網路間諜團體利用不安全的 HTTP 軟體更新機制(該機制未驗證數位簽章)在受害者的 Windows 和 macOS 設備上部署惡意程式。
Volexity解釋,當這些應用程式嘗試獲取更新時,它們不會安裝預期的更新,而是安裝惡意程式,包括但不限於 MACMA 和 POCOSTICK(又名 MGBot)。
為此,
攻擊者攔截並修改受害者的 DNS 請求,並以惡意 IP 地址進行毒化。這使得惡意程式能夠從 StormBamboo 的命令和控制伺服器傳送到目標系統,而無需用戶交互。
例如,他們利用 5KPlayer 更新 youtube-dl 依賴項的請求,推送了一個託管在 C2 伺服器上的後門安裝程式。
入侵目標系統後,威脅行為者安裝了一個惡意的 Google Chrome 擴充程式(ReloadText),使他們能夠竊取瀏覽器 cookie 和郵件資料。
研究人員補充,Volexity 觀察到 StormBamboo 針對多個使用不安全更新工作流程的軟體供應商,採用不同複雜程度的步驟推送惡意程式。
Volexity 已通知並與受害的 ISP 合作,調查其網路上提供流量路由服務的各個關鍵設備。當 ISP 重新啟動並使網路的各個組件離線時,DNS 毒化立即停止。
2023 年 4 月,ESET 威脅研究人員也觀察到該駭客組織濫用騰訊 QQ 通訊應用程式的自動更新機制,部署 Pocostick(MGBot)Windows 後門,攻擊國際非政府組織(NGO)。
2024 年 7 月時,賽門鐵克的威脅獵捕團隊發現這些中國駭客針對中國的一個美國 NGO 和台灣的多個組織,使用新版本的 Macma macOS 後門和 Nightdoor Windows 惡意程式。
在這兩種情況下,儘管攻擊者的技能明顯,但研究人員認為這可能是供應鏈攻擊或中間人攻擊(AITM),但無法確定實際的攻擊方法。
本文轉載自bleepingcomputer。
中間人攻擊
軟體更新
DNS毒化
中國駭客組織
最新活動
2024.10.03
2024 數位經濟資安趨勢論壇
2024.09.12
ISO 27001認證是什麼?可否自行導入?資安懶人包
2024.09.13
[高雄專場]「神機妙算料事準,洞悉威脅守安全」資安超前部署論壇
2024.09.19
安碁學苑資安職能線上講座:資訊安全工程師
2024.09.24
【2024 叡揚資安趨勢講堂】
2024.09.27
零信任資安強化企業防禦韌性媒合交流會
看更多活動
大家都在看
最新Linux 版本Cicada勒索軟體 鎖定 VMware ESXi 伺服器
TXOne Networks籲半導體業強化資產生命週期防護
Jamf 與微軟簽署五年合作協議,透過 Microsoft Azure 加速成長
內部滲透測試在AI時代下對資安防護的重要性
駭客招數不斷翻新,「用戶帳號」仍是首要目標
資安人科技網
文章推薦
Ivanti修復端點管理軟體重大漏洞 可遭遠端程式碼執行攻擊
Palo Alto Networks 完成收購 IBM 的 QRadar SaaS 業務
車載資安的未來:把車輛視為端點加以保護