Volexity araştırmacıları, APT StormBamboo’nun DNS sorgularını zehirlemek ve böylece hedef kuruluşlara kötü amaçlı yazılım göndermek için ismi açıklanmayan bir internet servis sağlayıcısını (İSS) tehlikeye attığını paylaştı.
Otomatik yazılım güncellemeleri aracılığıyla kötü amaçlı yazılım dağıtımı
Çince konuşan ve siber casusluğa odaklanan bir tehdit aktörü olan StormBamboo (diğer adıyla Evasive Panda, diğer adıyla StormCloud), üçüncü tarafları tehlikeye atarak hedeflenen hedeflere ulaşma konusunda bir yeteneğe sahip.
Nisan 2023’te ESET araştırmacıları, tehdit aktörünün Çin’deki uluslararası bir STK’yı kötü amaçlı güncellemelerle hedef aldığını belgelediler, ancak bu güncellemelerin tedarik zinciri ihlali yoluyla mı yoksa aracı saldırılar yoluyla mı iletildiğini belirleyemediler.
Bir süre sonra, StormBamboo’nun dahil olduğuna işaret eden kötü amaçlı yazılımların kullanıldığı olaylara yanıt verirken, Volexity araştırmacıları grubun otomatik yazılım güncelleme mekanizmalarına bağlı belirli etki alanları için DNS sorgu yanıtlarını değiştirdiğini tespit etti.
“StormBamboo, HTTP gibi güvenli olmayan güncelleme mekanizmaları kullanan ve yükleyicilerin dijital imzalarını düzgün bir şekilde doğrulamayan yazılımları hedef alıyor gibi görünüyor. Bu nedenle, bu uygulamalar güncellemelerini almaya gittiğinde, amaçlanan güncellemeyi yüklemek yerine, MACMA ve POCOSTICK (diğer adıyla MGBot) dahil ancak bunlarla sınırlı olmamak üzere kötü amaçlı yazılımlar yüklüyorlardı.”
Saldırganlar, MACMA (Mac arka kapısı) veya MGBot (grubun imzası olan Windows arka kapısı) ile sistemleri tehlikeye attıktan sonra, kurbanın cihazına bir Google Chrome eklentisi yerleştiriyorlardı.
Eklenti, Internet Explorer ile uyumluluk modunda web sayfalarının yüklenmesine yardımcı olduğunu iddia ediyordu ancak tarayıcı çerezlerini gizlice ele geçirip saldırganın kontrolündeki bir Google Drive hesabına aktarıyordu.
İSS düzeyinde DNS zehirlenmesi
Kötü amaçlı güncellemeleri keşfettikten sonra Volexity olay müdahale ekipleri ilk olarak kurban kuruluşun güvenlik duvarının tehlikeye girdiğinden şüphelendiler ancak kısa süre sonra DNS zehirlenmesinin İSS düzeyinde daha yukarı akışta gerçekleştirildiğini buldular.
StormBamboo kötü amaçlı güncellemeleri nasıl iletti (Kaynak: Volexity)
İSS ile iletişime geçildi ve ağlarında trafik yönlendirme hizmetleri sağlayan cihazlar kontrol edildi. “İSS yeniden başlatıldığında ve ağın çeşitli bileşenlerini çevrimdışı bıraktığında, DNS zehirlenmesi hemen durdu,” diye eklediler.
Volexity, İSS tarafından işletilen tehlikeye atılan cihaz(lar)da DNS girişlerinin nasıl değiştirildiğini keşfedemese de, DNS ve HTTP isteklerini engelleyebilen ve daha önce başka bir Çince konuşan tehdit aktörü tarafından kullanılan CATCHDNS adlı kötü amaçlı yazılımın bu saldırılarda kullanılmış olabileceğini söylüyor.
İki hafta önce Symantec’in tehdit avcıları, StormBamboo’nun MgBot kötü amaçlı yazılımını dağıtmak için bir Apache HTTP sunucusu güvenlik açığını kullandığını, yeni bir Windows arka kapısını (Nightdoor) kullandığını ve APT’nin araçlarının çoğu büyük işletim sistemi platformunu hedefleyen sürümlerini oluşturabildiğini bildirmişti.
“Symantec, Android APK’larını, SMS müdahale araçlarını, DNS isteği müdahale araçlarını ve hatta Solaris OS’yi hedef alan kötü amaçlı yazılım ailelerini Truva atı haline getirme yeteneğine dair kanıtlar gördü. Daggerfly, casusluk faaliyetlerine minimum kesintiyle devam etmek için araç setini hızla güncelleyerek ifşaya yanıt verebilecek gibi görünüyor,” dediler.