近日,一个名为“Evasive Panda”或“StormBamboo”的中国网络间谍组织成功入侵一家未公开的互联网服务提供商(ISP),导致用户在不知情的情况下接收到恶意软件,而非预期的软件更新。
根据Volexity的事件调查报告,该黑客组织入侵了ISP的DNS服务,并篡改了查询响应。DNS(域名系统)负责将网站地址转换为IP地址,以便用户访问服务器。
当用户软件尝试自动检索更新时,黑客通过篡改的DNS将用户导向一个恶意服务器。用户本应安装的是软件更新,却不幸安装了恶意软件。污染的DNS记录被解析到了攻击者控制的位于香港的服务器,IP地址为103.96.130.107。
调查显示,ISP层面的DNS篡改是此次攻击的核心。目前尚不清楚攻击者是如何获得访问权限的。ISP在发现问题后迅速重启并下线了多个组件,以停止恶意活动。由于组件更新后活动停止,具体被入侵的设备未能确定。
此前,恶意行为者已知使用DNS中毒恶意软件CATCHDNS,在ISP环境中实现类似目的。
此次攻击与威胁行为者先前修改用户浏览的网站内容的策略相比,显示出更高的复杂性。先前的策略需要用户交互,如点击弹出窗口更新浏览器,而自动软件更新则无需用户交互。
合法应用程序在尝试更新时会执行请求,并检索包含最新版本和安装程序链接的基于文本的文件。攻击者利用这一设计,通过将查询重定向到他们的服务器,托管伪造的文件和恶意安装程序。
网络犯罪分子利用了多个使用不安全更新工作流程的软件供应商。例如,一款视频播放器会在每次启动时自动检查并下载新版本。
此次攻击的恶意负载包含MACMA(针对macOS)或POCOSTICK(针对Windows)恶意软件,攻击者试图窃取浏览器cookies和其他敏感信息。
Volexity警告称,Evasive Panda是一个技术高超且咄咄逼人的威胁行为者,他们通过入侵第三方来破坏预定目标。报告显示,该威胁行为者在各个活动中使用的恶意软件种类表明,他们为macOS、Windows以及网络设备投入了相当大的努力,积极支持有效载荷。
🌐 结语
Evasive Panda的行动提醒我们,网络安全威胁无处不在,即使是日常的软件更新也不可掉以轻心。作为区块链安全公司,我们建议所有用户和组织加强网络安全防护,确保所有软件更新都通过安全、可信的渠道进行,避免成为网络攻击的受害者。
or 欢迎私信我们进行交流~
--了解我们--
原文始发于微信公众号(反入侵实验室):【网络安全】用户遭遇ISP漏洞,恶意软件伪装软件更新传播
评论