Hacker’lar genellikle çeşitli yasadışı amaçlar için İSS hizmet sağlayıcılarına saldırır. En önemlileri internet hizmetlerini kesintiye uğratmak, hassas verileri çalmak ve daha fazlasıdır.
Bunun yanı sıra, bu tür bir ihlal, bilgisayar korsanlarına çok sayıda bağlı cihaz üzerinde kontrol sağlıyor ve bu da tehdit aktörlerinin kötü niyetli faaliyetlerini olumlu yönde önemli ölçüde etkiliyor.
Volexity, StormBamboo’nun (diğer adıyla Evasive Panda, StormCloud) gelişmiş ISP düzeyinde DNS zehirleme saldırı yöntemini 2023’ün ortalarında keşfetti. Şimdi, yazılım güncellemelerini zehirlemek için ISP hizmet sağlayıcısını ele geçiren bilgisayar korsanlarını tespit ettiler.
Hackerlar İSS’yi Ele Geçirdi
Aktör, özellikle uygun dijital imza doğrulaması olmayan güvenli olmayan HTTP bağlantıları kullanan yazılım güncelleme mekanizmalarındaki güvenlik açıklarından yararlandı.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access
StormBamboo, otomatik güncellemeler için kullanılan bazı alan adlarının DNS yanıtlarını ele geçirerek kullanıcıların meşru yazılım güncellemeleri yerine kötü amaçlı indirmelere yönlendirilmesini sağladı.
Bu stratejinin bir sonucu olarak, birçok firmanın Windows ve macOS sistemleri MACMA ve POCOSTICK (aynı zamanda MGBot olarak da bilinir) gibi farklı türdeki kötü amaçlı yazılımlarla enfekte oldu.
Bu saldırı, DNS altyapısının korunmasında sağlamlığın ve güvenli güncelleme prosedürlerinin önemini vurgulayan gizli bir giriş noktasıyla gerçekleşti.
Bu karmaşık saldırıda StormBamboo, ISP düzeyinde DNS zehirlenmesi kullandı. Meşru güncelleme istekleri Hong Kong’daki kötü amaçlı bir sunucuya yönlendirildi (103.96.130[.]107) Tehdit aktörü DNS yanıtlarını tehlikeye attıktan sonra.
.webp)
Özellikle 5KPlayer’daki YoutubeDL bileşeni olmak üzere farklı yazılım uygulamalarının HTTP tabanlı güncelleme mekanizmaları bu yöntemle istismar edilebilir.
StormBamboo, yürütüldüğünde macOS için MACMA ve Windows işletim sistemi için POCOSTICK gibi gelişmiş kötü amaçlı yazılımlarla enfekte olan sistemleri etkileyen sahte görünümlü güncellemelere kötü amaçlı kodlar yerleştirdi.
Bu teknik herhangi bir kullanıcı müdahalesine ihtiyaç duymuyordu; dolayısıyla son derece tehlikeliydi.
Bu saldırının karmaşıklığı, CATCHDNS olayları gibi önceki örnekleri geride bırakarak hem kötü amaçlı yazılım yeteneklerinde hem de saldırı yöntemlerinde dikkate değer gelişmeler ortaya koydu.
Bu olay, güvenli yazılım yükseltme süreçlerinin sağlanmasının, sağlam bir DNS altyapısı korumasına sahip olmanın ve giderek karmaşıklaşan siber tehditlere karşı tetikte olmanın ne kadar önemli olduğunu göstermektedir.
macOS’a bulaşan ve güvenliği ihlal edilen cihazlar arasında araştırmacılar, StormBamboo’nun Chrome için “RELOADEXT” adlı karmaşık ve tehlikeli bir uzantı kullandığını gördüler.
Tarayıcının Güvenli Tercihler dosyasını değiştiren özel bir ikili yükleyici (hash: ee28b3137d65d74c0234eea35fa536af) aracılığıyla Chrome’un kurcalama koruması özelliklerini aşmaya yardımcı oldu.
Uzantı, $HOME/Library/Application Support/Google/Chrome/Default/Default/CustomPlug1n/Reload/ yolundaki bir klasörün içine gizlenmişti ve bu da onu bir Internet Explorer uyumluluk aracı gibi gösteriyordu.
Obfuscator kullanılarak yeniden düzenlenen temel amacı[.]io’nun amacı, saldırganın kontrolündeki bir Google Drive hesabına tarayıcı çerezlerini sızdırmaktı.
RELOADEXT, mantığı için dahili olarak AES, anahtar olarak ise “chrome uzantısı” kullanılarak birden fazla şifreleme katmanından yararlanırken, veri sızdırma için “opizmxn!@309asdf” kullanılıyor.
Bu teknik, StormBamboo’nun İSS’leri ve çeşitli platformları istismar etme konusundaki kanıtlanmış yeteneğiyle birlikte, bu aktörlerin hedef ağlarına girme konusunda ne kadar yetenekli olduklarını gösteriyor.
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide