Una nueva investigación de la empresa de ciberseguridad Volexity reveló detalles sobre un ataque altamente sofisticado implementado por un actor de amenazas de ciberespionaje de habla china llamado StormBamboo.
StormBamboo comprometió a un ISP para modificar algunas respuestas DNS a consultas de sistemas que solicitaban actualizaciones de software legítimas. Se atacaron varios proveedores de software. Las respuestas alteradas provocaron cargas útiles maliciosas proporcionadas por StormBamboo además de los archivos de actualización legítimos. Las cargas útiles estaban dirigidas a los sistemas operativos macOS y Microsoft Windows.
¿Quién es StormBamboo?
StormBamboo, también conocido como Evasive Panda, Daggerfly o Bronze Highland, es un actor de amenazas de ciberespionaje alineado con China, activo desde al menos 2012. El grupo de habla china ha apuntado a muchas organizaciones que se alinean con los intereses chinos en todo el mundo.
A lo largo de los años, el grupo se ha dirigido a personas de China continental, Hong Kong, Macao y Nigeria. Además, se ha dirigido a entidades, incluidos gobiernos, en el Sudeste Asiático, Asia Oriental, Estados Unidos, India y Australia.
El grupo tiene un largo historial de comprometer infraestructuras legítimas para infectar a sus objetivos con malware personalizado desarrollado para los sistemas operativos Microsoft Windows y macOS. El grupo ha implementado ataques de tipo abrevadero, que consisten en comprometer un sitio web específico para atacar a sus visitantes e infectarlos con malware.
StormBamboo también es capaz de ejecutar ataques a la cadena de suministro, como comprometer una plataforma de software, para infectar discretamente a las personas con malware.
El grupo también es capaz de dirigirse a usuarios de Android.
ISP comprometido, respuestas DNS envenenadas
El actor de amenazas logró comprometer la infraestructura del ISP de un objetivo para controlar las respuestas DNS de los servidores DNS de ese ISP.
Los servidores DNS consisten principalmente en traducir nombres de dominio a direcciones IP, llevándolos al sitio web correcto. Un atacante que controle el servidor puede hacer que las computadoras soliciten un nombre de dominio particular a una dirección IP controlada por el atacante. Esto es exactamente lo que hizo StormBamboo.
Si bien no se sabe cómo el grupo comprometió al ISP, Volexity informó que el ISP se reinició y desconectó varios componentes de su red, lo que detuvo inmediatamente la operación de envenenamiento de DNS.
El atacante tenía como objetivo alterar las respuestas DNS de varios sitios web legítimos de actualización de aplicaciones.
VER: Por qué su empresa debería considerar implementar extensiones de seguridad DNS
Paul Rascagneres, investigador de amenazas de Volexity y autor de la publicación, dijo a TechRepublic en una entrevista escrita que la compañía no sabe exactamente cómo los actores de amenazas eligieron al ISP.
“Los atacantes probablemente hicieron alguna investigación o reconocimiento para identificar cuál es el ISP de la víctima”, escribió. “No sabemos si otros ISP se han visto comprometidos; Es complicado identificarlo desde el exterior. StormBamboo es un actor de amenazas agresivo. Si este modo de funcionamiento fuera un éxito para ellos, podrían utilizarlo en otros ISP para otros objetivos”.
Se abusa de los mecanismos legítimos de actualización
Este ataque ha atacado a varios proveedores de software.
Una vez que se envió una solicitud de DNS de los usuarios al servidor DNS comprometido, respondió con una dirección IP controlada por el atacante que entregó una actualización real para el software, pero con la carga útil del atacante.
El informe de Volexity mostró que varios proveedores de software que utilizaban flujos de trabajo de actualización inseguros estaban preocupados y proporcionó un ejemplo con un software llamado 5KPlayer.
El software busca actualizaciones para “YoutubeDL” cada vez que se inicia. La verificación se realiza solicitando un archivo de configuración, que indica si hay una nueva versión disponible. Si es así, se descarga desde una URL específica y la aplicación legítima lo ejecuta.
Sin embargo, el DNS del ISP comprometido llevará la aplicación a un archivo de configuración modificado, lo que indica que hay una actualización, pero entrega un paquete YoutubeDL con puerta trasera.
La carga útil maliciosa es un archivo PNG que contiene malware MACMA o POCOSTICK/MGBot, según el sistema operativo que solicita la actualización. MACMA infecta MacOS, mientras que POCOSTICK/MGBot infecta los sistemas operativos Microsoft Windows.
Cargas útiles maliciosas
POCOSTICK, también conocido como MGBot, es un malware personalizado posiblemente desarrollado por StormBamboo, ya que no ha sido utilizado por ningún otro grupo, según ESET. El malware existe desde 2012 y consta de varios módulos que permiten el registro de teclas, el robo de archivos, la interceptación del portapapeles, la captura de transmisiones de audio, las cookies y el robo de credenciales.
Por el contrario, MACMA permite el registro de teclas, la toma de huellas digitales del dispositivo de la víctima y la captura de pantalla y audio. También proporciona una línea de comando al atacante y tiene capacidades de robo de archivos. Google informó inicialmente en 2021 de la presencia de malware MACMA, mediante la implementación de ataques de abrevadero.
El ataque de Google no se atribuyó a un actor de amenazas, pero estaba dirigido a visitantes de sitios web de Hong Kong para un medio de comunicación y un destacado grupo laboral y político prodemocracia, según Google. Este ataque se alinea con el objetivo de StormBamboo.
Volexity también notó importantes similitudes de código entre la última versión de MACMA y otra familia de malware, GIMMICK, utilizada por el actor de amenazas StormCloud.
Finalmente, en un caso posterior al compromiso del dispositivo macOS de una víctima, Volexity vio al atacante implementar una extensión maliciosa de Google Chrome. El código ofuscado permite al atacante filtrar las cookies del navegador a una cuenta de Google Drive controlada por el atacante.
¿Cómo pueden los proveedores de software proteger a los usuarios de las ciberamenazas?
Rascagneres le dijo a TechRepublic que Volexity identificó varios mecanismos de actualización inseguros específicos de diferentes software: 5k Player, Quick Heal, Sogou, Rainmeter, Partition Wizard y Corel.
Cuestionado sobre cómo proteger y mejorar los mecanismos de actualización a nivel de proveedor de software, el investigador insiste en que “los editores de software deberían hacer cumplir el mecanismo de actualización HTTPS y verificar el certificado SSL del sitio web donde se descargan las actualizaciones. Además, deberán firmar las actualizaciones y verificar esta firma antes de ejecutarlas”.
Para ayudar a las empresas a detectar la actividad de StormBamboo en sus sistemas, Volexity proporciona reglas YARA para detectar las diferentes cargas útiles y recomienda bloquear los indicadores de compromiso que proporciona la empresa.
Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.
