TTL OSINT

Storm Bamboo компрометирует интернет-провайдера, злоупотребляя небезопасными механизмами обновления программного обеспечения

В августе 2024 года исследователи Volexity Анкур Сайни, Пол Расканьерес, Стивен Адэр и Томас Ланкастер обнаружили вредоносную кампанию, нацеленную на интернет-провайдеров (ISP), использующих DNS-отравление для злоупотребления небезопасными механизмами обновления программного обеспечения. Кампания, приписываемая StormBamboo (также известной как Evasive Panda и StormCloud), изменила ответы на запросы DNS для определенных доменов, связанных с механизмами автоматического обновления программного обеспечения, что привело к установке вредоносных программ, таких как MACMA и POCOSTICK, в системах macOS и Windows. Это не первый случай, когда Volexity сталкивается со злоумышленниками, использующими DNS-отравление для первоначального доступа к целевой сети. В мае 2023 года они представили подробную информацию о CATCH DNS, вредоносном ПО, которое использовалось Drifting Bamboo и было развернуто на сетевом устройстве. Последняя кампания Storm Bamboo демонстрирует злоупотребление небезопасными механизмами автоматического обновления, не требующими взаимодействия с пользователем, и распространение вредоносного ПО с помощью поддельных текстовых файлов и вредоносных установщиков. Кампания была нацелена на нескольких поставщиков программного обеспечения, использующих небезопасные рабочие процессы обновления и различные уровни сложности действий по распространению вредоносного ПО.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка: https://www.volexity.com/blog/2024/08/02/stormbamboo-compromises-isp-to-abuse-insecure-software-update-mechanisms/

Примеры признаков компромисса:

• 152.32.159.8
• 4c8a326899272d2fe30e818181f6f67f
• 59.188.69.231
• 103.96.130.107
• 3f76933e053b2e8e3458f2e69d72e10b6b6a97fb8ba0f0300aa415b99c032aea

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал