Недавние расследования выявили сложную кибератаку, приписываемую группе продвинутых постоянных угроз (APT) из Китая, которая успешно скомпрометировала интернет-провайдера (ISP) для эксплуатации механизмов обновления программного обеспечения. Эта атака была выполнена с использованием метода, известного как отравление DNS, что позволило злоумышленникам доставлять новые варианты бэкдора Macma вместе с пост-эксплуатационным вредоносным ПО, направленным на эксфильтрацию конфиденциальных данных из затронутых сетей.
Исследования Volexity
Исследователи из Volexity выявили атаку, организованную Evasive Panda, также известной как StormBamboo или DaggerFly. Их выводы появились в середине 2023 года, когда они обнаружили несколько систем, зараженных вредоносным ПО. Расследование показало, что эта высокоактивная китайская APT манипулировала ответами на DNS-запросы для определенных доменов, связанных с автоматическими каналами обновления программного обеспечения.
По словам исследователей Volexity—Анкура Сайни, Пола Расканьереса, Стивена Адаира и Томаса Ланкастера—группа специально нацеливалась на программное обеспечение, полагающееся на небезопасные механизмы обновления, такие как HTTP, которые не обеспечивали надлежащую проверку цифровых подписей установщиков. В результате, когда эти приложения пытались получить обновления, они непреднамеренно устанавливали вредоносное ПО, включая такие варианты, как Macma и Pocostick (также известный как MGBot).
Отравление DNS-запросов
Volexity подробно описала один из нескольких инцидентов, когда Evasive Panda использовала отравление DNS для доставки вредоносного ПО через HTTP-механизм автоматического обновления. Атака включала отравление ответов для легитимных имен хостов, которые затем использовались в качестве серверов команд и управления (C2) второго этапа.
Отравление DNS является формой злоупотребления DNS, при которой злоумышленники манипулируют записями DNS для перенаправления сетевых коммуникаций на сервер под их контролем, что позволяет им красть и манипулировать информацией, передаваемой пользователям. В данном случае APT перенаправила записи DNS на сервер под контролем злоумышленников, расположенный в Гонконге, конкретно по IP-адресу 103.96.130.107, в инфраструктуре ISP.
Логика использования автоматических обновлений остается неизменной для всех целевых приложений. Легитимное программное обеспечение выполняет HTTP-запрос для получения текстового файла с последней версией приложения и ссылкой на установщик. Контролируя ответы DNS для любого данного имени DNS, злоумышленники могут перенаправить HTTP-запрос на C2-сервер, размещающий поддельный текстовый файл и вредоносный установщик.
В этих атаках APT сосредоточилась на нескольких поставщиках программного обеспечения с «небезопасными рабочими процессами обновления», используя различные уровни сложности в своих методах для распространения вредоносного ПО. Например, один из поставщиков, 5Kplayer, использует рабочий процесс, который автоматически проверяет наличие новых версий YoutubeDL каждый раз при запуске приложения. Когда обнаруживается новая версия, процесс загружает ее с указанного URL-адреса, после чего легитимное приложение выполняет ее. Evasive Panda использовала это, отравляя DNS для размещения модифицированного конфигурационного файла, указывающего на доступное обновление, что приводило к загрузке бэкдорного пакета обновления с сервера APT.
Осторожно: «Высококвалифицированная» APT в действии
В ответ на атаки Volexity сотрудничала с интернет-провайдером, пострадавшим от отравления DNS. Провайдер провел расследование и отключил различные сетевые компоненты, эффективно остановив злонамеренную активность. Хотя было сложно идентифицировать конкретное скомпрометированное устройство, обновления различных компонентов инфраструктуры привели к прекращению атак.