Эксперты Volexity
, что в 2023 году китайская хак-группа скомпрометировала неназванного интернет-провайдера, чтобы внедрить малварь в автоматические обновления ПО, которые осуществлялись через HTTP.
Группировка Evasive Panda (она же StormBamboo, Bronze Highland, Daggerfly и StormCloud) активна как минимум с 2012 года и атакует организации на территории материкового Китая, Гонконга, Макао, Нигерии и различных стран Юго-Восточной и Восточной Азии.
Исследователи рассказывают, что на этот раз группировка эксплуатировала небезопасные механизмы обновления различного софта, работавшие через HTTP и не проверявшие цифровые подписи, для развертывания малвари на устройствах под управлением Windows и macOS.
Ради этой кампании хакеры взломали неназванного провайдера, а затем осуществили атаку типа DNS poisoning, то есть перехватывали и изменяли DNS-запросы жертв, отравляя их вредоносными IP-адресами. Таким образом, малварь доставлялось в системы жертв прямо с управляющих серверов группировки, без какого-либо участия пользователя.
Например, злоумышленники использовали запросы 5KPlayer на обновление youtube-dl, чтобы загрузить инсталлятор с бэкдором со подконтрольного им сервера.
После компрометации в системы пострадавших устанавливали вредоносное расширение для Google Chrome (ReloadText), которое позволяло собирать и похищать файлы cookie и почтовые данные.
Группировка Evasive Panda (она же StormBamboo, Bronze Highland, Daggerfly и StormCloud) активна как минимум с 2012 года и атакует организации на территории материкового Китая, Гонконга, Макао, Нигерии и различных стран Юго-Восточной и Восточной Азии.
Исследователи рассказывают, что на этот раз группировка эксплуатировала небезопасные механизмы обновления различного софта, работавшие через HTTP и не проверявшие цифровые подписи, для развертывания малвари на устройствах под управлением Windows и macOS.
Ради этой кампании хакеры взломали неназванного провайдера, а затем осуществили атаку типа DNS poisoning, то есть перехватывали и изменяли DNS-запросы жертв, отравляя их вредоносными IP-адресами. Таким образом, малварь доставлялось в системы жертв прямо с управляющих серверов группировки, без какого-либо участия пользователя.
Например, злоумышленники использовали запросы 5KPlayer на обновление youtube-dl, чтобы загрузить инсталлятор с бэкдором со подконтрольного им сервера.
После компрометации в системы пострадавших устанавливали вредоносное расширение для Google Chrome (ReloadText), которое позволяло собирать и похищать файлы cookie и почтовые данные.
