Çin bağlantılı tehdit aktörü olarak bilinen Kaçamak Panda 2023 yılının ortalarında, hedef şirketlere kötü amaçlı yazılım güncellemeleri göndermek için ismi açıklanmayan bir internet servis sağlayıcısını (İSS) tehlikeye attı ve grubun yeni bir gelişmişlik düzeyine ulaştığını gösterdi.
Evasive Panda, Bronze Highland, Daggerfly ve StormBamboo isimleriyle de bilinen, en az 2012’den beri faaliyet gösteren, hassas bilgileri toplamak için MgBot (diğer adıyla POCOSTICK) ve Nightdoor (diğer adıyla NetMM ve Suzafk) gibi arka kapıları kullanan bir siber casusluk grubudur.
Daha yakın zamanda tehdit aktörünün, 2021’den beri gözlemlenen MACMA adlı bir macOS kötü amaçlı yazılım türünü kullanmakla suçlandığı resmen açıklandı.
Volexity geçen hafta yayınladığı bir raporda, “StormBamboo, üçüncü tarafları (bu durumda bir İSS’yi) tehlikeye atarak hedeflenen sistemlere sızmayı başaran, oldukça yetenekli ve saldırgan bir tehdit aktörüdür” dedi.
“Bu tehdit aktörü tarafından çeşitli kampanyalarda kullanılan çeşitli kötü amaçlı yazılımlar, yalnızca macOS ve Windows için değil, aynı zamanda ağ aygıtları için de aktif olarak desteklenen yüklerle önemli bir çaba harcandığını gösteriyor.”
ESET ve Symantec’in son iki yıldır yayınladığı kamuoyu raporları, Evasive Panda’nın MgBot’u kullandığını ve Tibetli kullanıcıları hedef alan sulama deliği ve tedarik zinciri saldırıları düzenleme geçmişini belgeledi.
Ayrıca Tencent QQ gibi meşru uygulamaların güncelleme kanalları üzerinden gönderilen MgBot ile Çin Anakarası’ndaki uluslararası bir sivil toplum örgütünü (STK) hedef aldığı da tespit edildi.
Truva atına dönüştürülen güncellemelerin Tencent QQ güncelleme sunucularının tedarik zinciri ihlali sonucu veya bir aracı saldırı (AitM) sonucu ortaya çıktığı tahmin ediliyordu. Ancak Volexity’nin analizi, ikincisinin İSS düzeyinde bir DNS zehirleme saldırısından kaynaklandığını doğruluyor.
Tehdit aktörünün, otomatik yazılım güncelleme mekanizmalarına bağlı belirli etki alanları için DNS sorgu yanıtlarını değiştirdiği, HTTP gibi güvenli olmayan güncelleme mekanizmaları kullanan veya yükleyicilerin yeterli bütünlük kontrollerini uygulamayan yazılımları hedef aldığı söyleniyor.
Araştırmacılar Ankur Saini, Paul Rascagneres, Steven Adair ve Thomas Lancaster, “StormBamboo’nun HTTP otomatik güncelleme mekanizması aracılığıyla kötü amaçlı yazılım dağıtmak için DNS isteklerini zehirlediği ve ikinci aşama, komuta ve kontrol (C2) sunucuları olarak kullanılan meşru ana bilgisayar adları için yanıtları zehirlediği keşfedildi” dedi.
Saldırı zincirleri oldukça basittir çünkü güvenli olmayan güncelleme mekanizmaları, kullanılan işletim sistemine bağlı olarak MgBot veya MACMA’yı sunmak için kötüye kullanılır. Volexity, DNS zehirlenmesi saldırısını düzeltmek için ilgili İSS’ye bildirimde bulunduğunu söyledi.
Bir örnekte ayrıca kurbanın macOS cihazına Güvenli Tercihler dosyasını değiştirerek bir Google Chrome uzantısının dağıtılması da yer alıyordu. Tarayıcı eklentisi, bir sayfayı Internet Explorer ile uyumluluk modunda yükleyen bir araç gibi görünüyor, ancak asıl amacı tarayıcı çerezlerini saldırganın kontrol ettiği bir Google Drive hesabına sızdırmak.
Araştırmacılar, “Saldırgan, DNS isteklerini engelleyebilir ve bunları kötü amaçlı IP adresleriyle zehirleyebilir ve daha sonra bu tekniği HTTPS yerine HTTP kullanan otomatik güncelleme mekanizmalarını kötüye kullanmak için kullanabilir” dedi.