中国网络间谍行动使用恶意软件更新渗透
关键要点
中国网络间谍组织 StormBamboo 部署了恶意软件更新。此次攻击涉及 DNS 污染和不安全的软件更新机制。受影响的软件包括 Windows 和 macOS 系统。攻击者通过利用不安全的更新流程,成功安装了 MACMA 和 MgBot 恶意软件。根据 BleepingComputer,一项未具名的互联网服务提供商遭到攻击,导致中国网络间谍组织 StormBamboo也称为 Daggerfly、Evasive Panda 和 Storm Cloud部署了含有恶意软件的自动软件更新。
在对该互联网服务提供商进行DNS污染攻击后,StormBamboo 利用没有数字签名验证的易受攻击的 HTTP 软件更新机制,促成了 MACMA 和 MgBot 恶意软件在 Windows 和 macOS 系统上的安装。Volexity 的报告披露了此次攻击的细节。攻击者还通过来自 5KPlayer 请求的 youtubedl 依赖项更新分发了一个带后门的安装程序,并安装了一个能提取浏览器 Cookie 和邮件数据的谷歌 Chrome 扩展程序,名为“ReloadText”。Volexity 的研究人员指出:“StormBamboo 针对多个使用不安全更新工作流程的软件供应商,利用其推送恶意软件的步骤复杂性进行了攻击。”研究人员还补充说,一旦该互联网服务提供商在得知入侵后重新启动,DNS 污染就已被供应商避免。
一元机场.vip相关阅读: StormBamboo 的攻击模式 恶意软件防御最佳实践
