Siber Savaş / Ulus Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suç
StormBamboo Kötü Amaçlı Yazılım Dağıtımı İçin Otomatik Yazılım Güncelleme Sistemlerini Hedefliyor
Akşaya Asokan (asokan_akshaya) •
5 Ağustos 2024
Güvenlik araştırmacıları, Çin siber casusluğuyla bağlantısı olduğu belirlenen bir devlet bilgisayar korsanı grubunun, yazılım güncelleme bağlantılarını kötü amaçlı yazılım indiren bir saldırgan sunucusuna yönlendirmek için bir internet servis sağlayıcısına bulaştığını söyledi.
Volexity araştırmacıları kampanyayı ilk olarak geçen yıl ortaya çıkardı. Tehdit aktörü, özellikle yükleyicilerin dijital imzalarını doğrulamayan uygulamalar tarafından yapılan yazılım güncelleme istekleri olmak üzere etki alanı adı yanıtlarını zehirlemek için kimliği belirsiz bir İSS’ye girdi. Volexity, tehdit aktörü birden fazla yazılım satıcısını hedef aldığını ancak yalnızca birini adlandırdığını söyledi: ses-görüntü oynatıcısı, yayıncı ve indirici 5KPLayer.
5KPlayer her başlatıldığında, açık kaynaklı bir YouTube video indiricisi olan youtube-dl’nin yeni bir sürümünü kontrol eder. “StormBamboo, yeni bir güncellemenin mevcut olduğunu belirten değiştirilmiş bir yapılandırma dosyasını barındırmak için DNS zehirlenmesini kullandı. Bu, YoutubeDL yazılımının StormBamboo’nun sunucusundan bir yükseltme paketi indirmesiyle sonuçlandı,” diye yazdı Volexity. Tehdit aktörü tarafından kontrol edilen sunucu tarafından sunulan “yükseltme paketi” Macma arka kapısını içeriyordu.
Google, Macma’yı ilk olarak 2021’de tespit etti. O zamandan beri birden fazla güvenlik araştırmacısı arka kapıda yükseltmeler olduğunu belirtti. Volexity, yakaladığı en yeni örneklerin, “Gimmick” adını verdiği aynı tehdit aktörüne atfettiği diğer kötü amaçlı yazılımlarla örtüştüğünü söylüyor. Şirket, Gimmick’in 2021 sonlarında bir MacBook Pro’yu içeren bir bilgisayar korsanlığı olayında kullanıldığını tespit etti.
Saldırganlar kampanyayı İSS seviyesinden başlattığından, saldırıları tespit etmek başlangıçta zordu; araştırmacılar ilk başta saldırganların kurbanın güvenlik duvarını ihlal ettikten sonra ilk erişimi elde etmiş olabileceğini varsaydılar.
“Volexity, ağlarında trafik yönlendirme hizmetleri sağlayan çeşitli önemli cihazları araştıran İSS’yi bilgilendirdi ve onunla çalıştı. İSS yeniden başlatıp ağın çeşitli bileşenlerini çevrimdışı hale getirdiğinde, DNS zehirlenmesi hemen durdu,” dedi araştırmacılar.