【网络安全】用户遭遇ISP漏洞,恶意软件伪装软件更新传播

admin 2024年8月6日22:28:17评论28 views字数 1082阅读3分36秒阅读模式
近日,一个名为“Evasive Panda”或“StormBamboo”的中国网络间谍组织成功入侵一家未公开的互联网服务提供商(ISP),导致用户在不知情的情况下接收到恶意软件,而非预期的软件更新。

【网络安全】用户遭遇ISP漏洞,恶意软件伪装软件更新传播

根据Volexity的事件调查报告,该黑客组织入侵了ISP的DNS服务,并篡改了查询响应。DNS(域名系统)负责将网站地址转换为IP地址,以便用户访问服务器。
当用户软件尝试自动检索更新时,黑客通过篡改的DNS将用户导向一个恶意服务器。用户本应安装的是软件更新,却不幸安装了恶意软件。污染的DNS记录被解析到了攻击者控制的位于香港的服务器,IP地址为103.96.130.107。
调查显示,ISP层面的DNS篡改是此次攻击的核心。目前尚不清楚攻击者是如何获得访问权限的。ISP在发现问题后迅速重启并下线了多个组件,以停止恶意活动。由于组件更新后活动停止,具体被入侵的设备未能确定。

【网络安全】用户遭遇ISP漏洞,恶意软件伪装软件更新传播

此前,恶意行为者已知使用DNS中毒恶意软件CATCHDNS,在ISP环境中实现类似目的。
此次攻击与威胁行为者先前修改用户浏览的网站内容的策略相比,显示出更高的复杂性。先前的策略需要用户交互,如点击弹出窗口更新浏览器,而自动软件更新则无需用户交互
合法应用程序在尝试更新时会执行请求,并检索包含最新版本和安装程序链接的基于文本的文件。攻击者利用这一设计,通过将查询重定向到他们的服务器,托管伪造的文件和恶意安装程序。
网络犯罪分子利用了多个使用不安全更新工作流程的软件供应商。例如,一款视频播放器会在每次启动时自动检查并下载新版本。
此次攻击的恶意负载包含MACMA(针对macOS)POCOSTICK(针对Windows)恶意软件,攻击者试图窃取浏览器cookies和其他敏感信息。
Volexity警告称,Evasive Panda是一个技术高超且咄咄逼人的威胁行为者,他们通过入侵第三方来破坏预定目标。报告显示,该威胁行为者在各个活动中使用的恶意软件种类表明,他们为macOS、Windows以及网络设备投入了相当大的努力,积极支持有效载荷。

🌐 结语

Evasive Panda的行动提醒我们,网络安全威胁无处不在,即使是日常的软件更新也不可掉以轻心。作为区块链安全公司,我们建议所有用户和组织加强网络安全防护,确保所有软件更新都通过安全、可信的渠道进行,避免成为网络攻击的受害者。

👉 培养安全意识让我们共同守护数字资产的安全!

【网络安全】用户遭遇ISP漏洞,恶意软件伪装软件更新传播

欢迎在评论区分享您的观点和建议。

or  欢迎私信我们进行交流~

【网络安全】用户遭遇ISP漏洞,恶意软件伪装软件更新传播

--了解我们--

【网络安全】用户遭遇ISP漏洞,恶意软件伪装软件更新传播

原文始发于微信公众号(反入侵实验室):【网络安全】用户遭遇ISP漏洞,恶意软件伪装软件更新传播

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月6日22:28:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【网络安全】用户遭遇ISP漏洞,恶意软件伪装软件更新传播https://cn-sec.com/archives/3040270.html

发表评论

匿名网友 填写信息