StormBamboo adlı gelişmiş bir hacker grubu, güvenli olmayan yazılım güncelleme mekanizmaları aracılığıyla kuruluşları hedef alan bir DNS zehirleme saldırısı başlatmak için bir internet servis sağlayıcısını (İSS) başarıyla tehlikeye attı. Güvenlik araştırmacıları tarafından 2023 ortalarında tespit edilen bu saldırı, hem macOS hem de Windows sistemlerine kötü amaçlı yazılım yüklemek için otomatik güncelleme süreçlerindeki güvenlik açıklarını kullanıyor.
StormBamboo DNS Zehirleme Saldırısı Vektörü
StormBamboo’nun yöntemi, otomatik yazılım güncellemelerine bağlı belirli etki alanları için DNS sorgu yanıtlarını değiştirmeyi içerir. HTTP gibi güvenli olmayan güncelleme mekanizmaları kullanan ve dijital imzaları düzgün bir şekilde doğrulamayan uygulamaları hedefleyerek, grup güncelleme isteklerini kendi sunucularına yönlendirir. Bu, meşru güncellemeler yerine kötü amaçlı yazılımların yüklenmesiyle sonuçlanır.
Siber güvenlik firması Volexity, DNS zehirlenmesinin hedef organizasyonun altyapısında değil, İSS seviyesinde gerçekleştiğini doğruladı.
Zehirlenen DNS kayıtları Hong Kong’daki saldırgan tarafından kontrol edilen bir sunucuya çözüldü. İSS sonunda soruşturmayı yürütüp çeşitli ağ bileşenlerini çevrimdışı yaptığında, DNS zehirlenmesi hemen durdu.
Bu saldırı, muhtemelen StormBamboo ile ilişkili başka bir tehdit aktörü olan DriftingBamboo’ya atfedilen önceki bir olayla benzerlikler taşıyor. Her iki grup da hedef ağlara ilk erişimi kolaylaştırmak için DNS zehirlenmesi kullandı.
Kötü Amaçlı Yazılım Dağıtımı ve İstismar Sonrası Etkinlik
StormBamboo, macOS için MACMA’nın yeni varyantları ve Windows için POCOSTICK (aynı zamanda MGBot olarak da bilinir) dahil olmak üzere çeşitli kötü amaçlı yazılım aileleri dağıttı. MACMA’nın son sürümü, GIMMICK kötü amaçlı yazılım ailesine önemli kod benzerlikleri gösteriyor ve bu da geliştirmelerinde bir yakınlaşma olduğunu gösteriyor.
Bir durumda, bir macOS cihazının tehlikeye atılmasının ardından StormBamboo, RELOADEXT adlı kötü amaçlı bir Google Chrome eklentisi dağıttı. Internet Explorer uyumluluk modunda sayfaları yüklemek için bir araç olarak gizlenen bu eklenti, aslında tarayıcı çerezlerini saldırgan tarafından kontrol edilen bir Google Drive hesabına sızdırıyor.
Uzantı ayrıca saldırganın Google Drive hesabına veri sızdırmak için kullanılan gizlenmiş JavaScript kodu içeriyordu. Veriler opizmxn!@309asdf anahtarıyla AES kullanılarak şifrelendi ve sızdırılmadan önce base64 ile kodlandı.
Bu olay, güvenli olmayan güncelleme mekanizmalarına dayanan yazılımların zafiyetini vurgular. Ayrıca, StormBamboo gibi tehdit aktörlerinin, hedefledikleri hedeflere ulaşmak için üçüncü taraf altyapısını tehlikeye atabilen karmaşık taktikleri de gösterir.
StormBamboo benzeri saldırılara karşı korunmak için kuruluşların şunları yapması gerekir:
- Tüm yazılım güncelleme süreçlerinde HTTPS kullanımını uygulayın ve zorunlu kılın.
- Özellikle DNS ile ilgili bileşenler olmak üzere ağ altyapısını düzenli olarak denetleyin ve güncelleyin.
- Tüm yazılım güncellemeleri için güçlü dijital imza doğrulaması kullanın.
- Olağandışı DNS etkinliğini ve DNS yanıtlarındaki açıklanamayan değişiklikleri izleyin.
- DNS zehirleme girişimlerini tespit edebilen ağ güvenliği izleme araçlarını kullanın.
Bu tehdit aktörü tarafından çeşitli kampanyalarda kullanılan çeşitli kötü amaçlı yazılımlar, yalnızca macOS ve Windows için değil, aynı zamanda ağ aygıtları için de aktif olarak desteklenen yükler için önemli bir çaba harcandığını gösteriyor.