中國駭客組織StormBamboo入侵網路服務供應商 (ISP)

StormBamboo自 2012 年以來一直頻繁活動,主要目標在中國大陸、港澳、東南亞等地

Photo Credit: welivesecurity

一個名為 StormBamboo 的中國駭客組織日前入侵一家尚未揭露的網路服務供應商 (ISP),他們利用自動軟體更新的漏洞來進行惡意軟體的散播。

這個網路間諜組織同時也以 Evasive Panda、Daggerfly 和 StormCloud等名稱為人所知,自 2012 年以來他們一直有所活動,主要的目標是鎖定在中國大陸、香港、澳門、奈及利亞以及東南亞和東亞的幾個國家。

上週,網路安全公司Volexity的威脅事件研究人員透露,他們發現 StormBamboo 利用改變DNS 中有關網域的查詢回應,將之連結到自動軟體更新的步驟。網路攻擊者利用像是 HTTP 之中不安全的更新機制來發動攻擊,並且由於無法驗證安裝程式的數位簽名,使用者以為是做更新程式的安裝,但實際上安裝卻是惡意軟體。

這種攻擊手法的關鍵是一種名為中間人man-in-the-middle (MITM)的技術,攻擊者在鎖定攻擊的設備和可信任伺服器 (trusted server) 之間取得有利位置,這樣做的目的是為了攔截和操控兩邊之間的通訊傳輸資料。 

一般 ISP 遭到入侵的情況是,攻擊者駭入 DNS 請求程序,這是將網站位址轉換為數字 IP 位址的關鍵功能程序。然後攻擊者通過篡改 DNS 回應,將使用者重新導向到意在竊取敏感資訊的惡意網站。

其中一個例子是,他們利用5KPlayer 發出請求來更新 youtube-dl dependency (youtube 下載軟體相依性),其最終目的是推送後門安裝程式到 C2 伺服器上。

當網路攻擊者入侵了攻擊目標的系統之後,他們會安裝Google Chrome 擴充元件 (ReloadText),這是一種惡意軟體,藉此他們能夠收攏和竊取包括瀏覽器 cookie 以及郵件資料。

Volexity研究人員解釋說:「當這些應用程式發出檢索相關更新時,接下來並不會安裝你想要的更新,結果卻是被安裝上了惡意軟體,這其中包括MACMA 和POCOSTICK(又名MGBot)。」

2023年4月,電腦安全軟體公司ESET的威脅研究人員也觀察到,該駭客組織利用騰訊QQ通訊軟體上自動更新機制的漏洞,部署Windows後門程式Pocostick(MGBot),藉以攻擊國際NGOs(非政府組織)。

一年後的2024 年 7 月,賽門鐵克的威脅獵捕團隊也發現中國駭客集團利用最新的 Macma macOS 後門程式和惡意軟體版本的 Nightdoor Windows,攻擊對象是位於中國的一家美國非政府組織和台灣的多個企業機構。

研究人員補充道:「Volexity 觀察到 StormBamboo 近期的活動中,目標針對多個軟體廠商,利用這些廠商目前使用的更新作業流程安全性上的漏洞。」

「Volexity 立即通知了該家 ISP 並與之共同合作,尋求解決方案,該ISP 著手調查了在其網路上提供流量路由服務 (traffic-routing service) 的數個關鍵設備。隨後 ISP 系統重新啟動並關掉網路系統中的數個元件,DNS 中毒的情況總算獲得解決。」

中國駭客組織 StormBamboo 入侵ISP相關的入侵指標(IOCs):

4c8a326899272d2fe30e818181f6f67f
acfc69c743b733dd80c1d551ae01172b
ce5fdde7db4ee41808f9c7d121311f78
038bc60a0bf004e9a7cbc3a3cf814613e61ba7cc
37ee872f05a0273446dc7e2539b9dbf9bf7d80b4
66346b3d841dc56a387f48b4dfba96083c37ec2e
68853cafd395edd08cd38ab6100c58e291a3a3d7
84875b2cf9f8c778ff1462ef478918b4ac964afe
bb030c405f33557bc5441165a0f8bf9a6d5a82a6
c68e86985a4cb2f69e16fb943723af63833859b3